4. So sánh với chiến dịch Phishing cũ sử dụng hạ tầng 174.136.14[.]95
Đây không phải lần đầu tiên đội ngũ Viettel Threat Intelligence (VTI) ghi nhận chiến dịch Phishing của nhóm này, tháng 3 tháng 4 cũng đã ghi nhận chiến dịch Phishing của nhóm tấn công này ở mức lẻ tẻ, VTI nhận thấy chiến dịch của tháng 6, tháng 7 có một số điểm mới:
- Đã có cơ chế chống Bruteforce đối với một số trường nhập vào của trang Phishing.
- Số lượng tên miền lừa đảo tăng lên so với hạ tầng IP chiến dịch cũ.
- Đa dạng hóa nội dung bằng cách dịch chuyển phân bố nội dung từ lừa đảo trúng thưởng sang ngân hàng, cho vay vốn,…
Chiến dịch Phishing mới có phần cải thiện đáng kể bằng cách đa dạng hóa nội dung, chuyển dịch cơ cấu giữa các hình thức lừa đảo.



Dựa trên một số thông tin chúng tôi crawl được từ không gian mạng, chúng ta có thể thấy được một số phần khá rõ ràng của nhóm này.

Có thể thấy nhóm này hoạt động rất mạnh vào thời gian đầu tháng 3 và giữa tháng 4, nhưng sau đó gần như im lặng trong suốt tháng 5 thì sang tháng 6 và tháng 7 hoạt động trở lại trong chiến dịch mới.
Theo điều tra của VTI, việc “án binh bất động” của nhóm lừa đảo trong tháng 5 có phần nào liên quan tới chuyên án bắt giữ một nhóm lừa đảo Phishing với thủ đoạn tương tự nhắm tới hơn 100 nạn nhân bị lừa tới hàng tỷ đồng.


Nhìn vào phân bố số lượng tên miền Phishing đăng ký theo giờ Việt Nam trong ngày của hai chiến dịch được sử dụng (màu xanh là chiến dịch cũ, màu hồng chiến dịch mới) có thể đưa ra được một số nhận định:
- Giờ hoạt động mạnh nhất của nhóm này thường trong khoảng cuối giờ sáng, cuối giờ chiều, tối. Vào khung giờ trưa thì không hoạt động nhiều, các khung giờ đêm thì chỉ tồn tại một số hoạt động lẻ tẻ, không quá nhiều.
- Có thể nhận định được nhanh rằng nhóm lừa đảo cũng sinh hoạt theo khung giờ Việt Nam (GMT +7) hoặc các khung giờ GMT +6 hoặc GMT +8 (của các nước láng giềng trong khu vực).


Nhìn hai biểu đồ phân bố số lượng tên miền theo loại của chiến dịch cũ và mới, có thể thấy nhóm lừa đảo đã phát triển hơn về mặt nội dung, thường xuyên cập nhật liên tục theo tuần chứ không dừng ngắt quãng lại như chiến dịch trước.
Dựa vào thông tin đã thu thập trước đây vào cuối năm 2019 và so sánh tính chất giữa hai chiến dịch, chúng tôi đưa ra một số kết luận sau:
- Nhóm lừa đảo này đã từng hoạt động lẻ tẻ vào cuối năm 2019, đến tháng 3 tháng 4 bắt đầu triển khai chiến dịch lừa đảo diện rộng, tháng 6 và tháng 7 tiếp tục triển khai chiến dịch mới.
- Hoạt động lừa đảo của nhóm ngưng trệ trong tháng 5 vì một số tình hình chuyên án đã bị bắt giữ trong thời gian này.
- Dựa vào tuần suất phân bố số lượng tên miền đăng ký theo giờ, có thể đưa ra nhận định rằng các đối tượng này sinh hoạt tại những quốc gia trong khung giờ GMT +6 cho tới GMT +8 của các nước láng giềng tại Việt Nam. Hiện tại chưa có sở cứ kết luận những đối tượng lừa đảo này sinh sống trong nước.
- Tuy thủ đoạn không mới, có phần cóp nhặt nội dung so với các đối tượng lừa đảo trước đây, nhưng nhóm này đã thể hiện sự cải tiến, rút kinh nghiệm để tăng tính hiệu quả (VD: thêm cơ chế chống Brute-force, sử dụng các công cụ triển khai tự động hóa, đa dạng hóa và bổ sung nội dung cho các loại hình thức, kịch bản lừa đảo…).
- Dự kiến trong thời gian tới khi việc khai thác không còn hiệu quả (Vì IP sử dụng sẽ vào danh sách Blacklist của nhiều tổ chức), nhóm này sẽ ngưng sử dụng hạ tầng IP 167.114.2[.]51 và chuyển sang hạ tầng khác với nội dung đa dạng hơn trước đây.
Để tiếp tục theo dõi và xem những nội dung chi tiết hơn nữa của chiến dịch này, độc giả có thể đăng ký tài khoản tại trang cyberintel[.]io để sử dụng dịch vụ Viettel Threat Intelligence.
5. Hạ tầng/tên miền Phishing được sử dụng bởi nhóm lừa đảo
5.1. Chiến dịch tháng 6 và tháng 7 sử dụng IP 167.114.2[.]51

IOC IP:
- 167.114.2[.]51 (khuyến cáo Blacklist trong vòng 3 tháng).
IOC Phishing ngân hàng:
- na***vn[.]com (mạo danh cổng thanh toán điện tử lớn tại Việt Nam, nhưng hiện tại chưa được sử dụng, đang được cấu hình để redirect về trang chính chủ)
- **bankonline[.]com (mạo danh ngân hàng lớn tại Việt Nam, hiện tại trang phishing không còn sống)
- hethongnganhangvn[.]com
- nganhangxacnhanvay[.]com
- trangxacnhan24h[.]com
- hethongnganhang[.]com
- xacnhanvaynganhang[.]com
- nganhangchuyenkhoan[.]com
- trangnganhangvn[.]com
- fbanking24h[.]com
- hdcrited[.]com (được sử dụng nhiều trong chiến dịch vừa qua)
- nganhangchuyentien[.]com
- ngan*******nuocvn[.]com (Tên miền mạo danh Tổ chức tài chính lớn của nhà nước).
- nganhanggiaodich[.]com
- trangnganhang[.]com
- kiemtratrangthaithe[.]com
- quydoingoaite-western[.]com
- nganhangxacnhanvn[.]com
- nganhangxacnhan[.]com
- bankingplus24h[.]com
- xacnhannganhangvn[.]com
- tracuutrangthaithe[.]com
- xacnhanthongtin[.]com
- trangxacnhanvn[.]com
- giaodichnganhangvn[.]com
- ibankingvtc[.]com
- kiemtrathecao24h[.]com
IOC Phishing sử dụng chương trình vay vốn tiền mặt:
- taichinh24g[.]online
- vay2s[.]com
- id-vay[.]com
- vaytien24s[.]online
- vaytiennhanh[.]online
IOC Phishing sử dụng chương trình thanh toán thẻ điện tử:
- trangthezing[.]com
- kiemtrathegame.net
- tongdaihehongthezing[.]com
- trangchuzingvng[.]com
- tongdaithe[.]com
- kiemtrathevnn[.]com
- trangchuzing090[.]com
- xacminhthegame[.]com
- tongdaizing365[.]com
- thongtinthevcoin[.]com
- kiemtrapayzing[.]com
- tracuuthetructuyen[.]com
- kiemtrathe[.]com
- mobigunny[.]com
- tongdaizing247[.]com
- kiemtratheonline[.]com
- xacminhzingme[.]com
- tracuuthezing247[.]com
IOC Phishing sử dụng chủ đề trúng thưởng:
- hethongsp[.]com
- tangthuong79[.]com
- nhanthuong247vn[.]com
- hopqua247vn[.]com
- quavangsp252[.]com
- tinvangsp505[.]com
- tinthuongthang8[.]com
- giaiviet2020[.]com
- hoso393vn[.]com
- hoso898vn[.]com
- lethuongthang7[.]com
- mxh0779[.]com
- lelocvang2020vn[.]com
- vongquayvangsp2020[.]com
- thongtinsukienthang7[.]com
- traoqua797vn[.]com
- traothuong779vn[.]com
- traothuong595vn[.]com
- tranggiovang[.]com
- hososukien252[.]com
- hosovongquay[.]com
- thongtinsukienvn2020[.]com
- sukien577[.]com
- giaithuongviet2020[.]com
- traoqua379vn[.]com
- traoqua525vn[.]com
- quaysomayman2020[.]com
- tinthuongthang7[.]com
- tongdaizing090[.]com
- tuvanmxh365[.]com
- giainhatgapo2020[.]com
- tranghoso88[.]com
- hotro779[.]com
- sukienqua2020vn[.]com
- hoso797vn[.]com
- hotrodichvu2020[.]com
- traoquasukien365vn[.]com
- nhanphanqua2020[.]com
- traotanglocvang[.]com
- trangchugrindr[.]com
- quamayman739[.]com
- traoquasukien24hvn[.]com
- sukienvn2020[.]com
- hopqua393vn[.]com
- hopquavn979[.]com
- thongbaoquykhach89[.]com
- hosogiai2020[.]com
- traoquasukienthang6[.]com
- traogiainhat777[.]com
5.2 Chiến dịch tháng 3 và tháng 4 sử dụng IP 174.136.14[.]95 (Hiện tại chiến dịch này đã kết thúc, chỉ còn giá trị tham khảo)
Phishing ngân hàng:
- bo********2020[.]com (cũng mạo danh tổ chức Tài chính lớn tại Việt Nam).
- ***ibanking[.]com (mạo danh ngân hàng thương mại lớn tại Việt Nam)
- vtcbanking[.]com
- westernutionbank[.]com
- xacnhannganhang[.]com
Phishing giả mạo chương trình trúng thưởng, tặng quà:
- mc24h[.]com
- codevip24h[.]com
- traoxe888[.]com
- thuongvang365[.]com
- tinvang2020vn[.]com
- tangquaxe2020[.]com
- trangthaithecao2020[.]com
- thongtinthedt[.]com
- giainhatfb379[.]com
- vinfastprize[.]com
- xenhapkhauuytin[.]com
- letrian2020[.]com
- nhanquaxe2020[.]com
- quatangtrian2020[.]com
- kiemtrathetructuyen[.]com
- nhanngay24h[.]com
- quathu20[.]com
- traoxe666[.]com
- legiaithang4[.]com
- phanqua20[.]com
- hethongquatang2020[.]com
- traogiaitrian2020[.]com
- trianvang2020[.]com
- trungxe55[.]com
- thongtingiainhat7979[.]com
- hethongvangfb2020[.]com
- quasukienvn77[.]com
- traoquasukienshopee[.]com
- shopee24hvn[.]com
- hotrotrian152[.]com
- giaithuong2020[.]com
- giaithuong20[.]com
- lequagiai2020[.]com
- kenhqua2020[.]com
- giaihenho2020[.]com
- trangqua379[.]com
- vietnamquafb2020[.]com
- giaigiovang2020[.]com
- nhanthuong24h[.]com
- confirmbanking[.]com
- giainhat2020[.]com
- sukienshopee24h[.]com
- shopeevietnam2020[.]com
- traogiai2020vn[.]com
- hethonggiai2020[.]com
- xethanhlyhaiquan[.]com
- hethong2020[.]com
- nhanthuongsh[.]com
- trungxe888[.]com
- traoquasukienthang3[.]com
- kiemtragamezing[.]com
- traoquaxe2020[.]com
- tuanlevang168[.]com
- letrian552[.]com
- xacnhanhoso2020[.]com
- vietnamqua2020[.]com
- hethongvangvn2020[.]com
- nhanthuongvn2020[.]com
- quatrianvn777[.]com
- trianvn379[.]com
- letrungvang2020[.]com
- nhangiaivongquay2020fb[.]com
- sukientraogiai2020[.]com
- sukientrian2020[.]com
- shopeevnn2020[.]com
- shopeeapp2020[.]com
- hotro2020[.]com
- nhanthuong2020[.]com
- loctrianthang3[.]com
- kiemtrathe247[.]com
- giaithuongtrian2020[.]com
- giovang2020[.]com
- thangvang2020vn[.]com
- mxh000[.]com
- locxuan679[.]com
- trianvn77[.]com
- hethongvang2020[.]com
- hopquatang2020[.]com
- traoquavn2020[.]com
- traoquatang2020[.]com
- hosothang2020[.]com
- tingiaithang3[.]com
- trungqua222[.]com