Hệ thống Viettel Threat Intelligence (VTI) cảnh báo về nguy cơ tấn công phishing có chủ đích tại Việt Nam đang tiếp diễn từ năm khoảng năm 2018 đến nay. Trong quá trình điều tra, nhóm VTH (Threat Hunting team, từ hệ thống VTI) đánh giá kĩ thuật sử dụng và hình thức khai thác luôn được cập nhật và cải tiến nhằm nâng cao tỉ lệ thành công. Loạt bài viết sau đây sẽ là một cái nhìn tổng quan về nhóm lừa đảo này.

Tóm lược:

·       Hình thức tấn công: Phishing - Lừa đảo có chủ đích/mạo danh các ngân hàng, cổng thanh toán, ví điện tử tại Việt Nam.

·       Nạn nhân ảnh hưởng: người dùng ngân hàng/các thương hiệu có liên quan.

·       Thời gian hoạt động của nhóm lừa đảo này: khoảng 2018 – hiện nay.

1. Thông tin các chiến dịch

Nhóm VTHchúng tôi đã theo dõi trong thời gian dài, nhóm lừa đảo sử dụng hình thức lừa đảo chuyên nghiệp như lợi dụng các trang vay vốn, giả mạo nhiều thương hiệu lớn, các trang lừa đảo có đầu tư hơn các chiến dịch nhỏ lẻ khác (như lợi dụng nền tảng Weebly,Wix,..). Hệ thống Threat Radar VTI đã xác định nhóm lừa đảodựa vào nhiều sự tương đồng giữa các tên miền của nhiều chiến dịch lừa đảo mà chúng tôi phát hiện được trong quá trình giám sát đảm bảo an toàn thông tin cho tổ chức.

Các chiến dịch liên tục diễn ra, đã và đang nhằm vào nhiều đối tượng người dùng hiện nay. Đặc biệt ảnh hưởng lớn tới uy tín của các thương hiệu bị giả mạo, lợi dụng.
Minh hoạ tổng quan các hạ tầng IP nghi ngờ do cùng một ổ nhóm dựng lên

Nhóm VTH chúng tôi nhận định chiến dịch lừa đảo này hoạt động từ khoảng năm 2018 đến nay và không bị phát hiện qua IP: 127.3.6[.]9.

IP Private này chuyên chứa các domain phishing không được sử dụng nữa hoặc đã bị theo dõi chú ý/bị phát hiện. Các chiến dịch trước đó đều có liên kết đến nơi IP: 127.3.6[.]9 này. Mặc dù không phải mọi tên miền trong chiến dịch đề trỏ về IP này, điều này thể hiện sự chuyên nghiệp của nhóm lừa đảo khi sử dụng một IP với mục đích quản lý lưu trữ tập trung. Đây có thể coi là một đặc trưng riêng của nhóm tấn công này.

Một số mối quan hệ với các IP chiến dịch khác

Ngoài ra các domain này đều có nhiều đặc điểm chung về mã nguồn, SSL, tracker đặc biệt,…

Qua quá trình điều tra, chúng tôi nhận thấy các IP của các chiến dịch mới có nhiều điểm chung và có liên kết với các IP chiến dịch cũ cũng như IP đặc trưng 127.3.6[.]9. Đây là là một IP mang tính lưu trữ/thăm lại của nhóm lừa đảo.

Vùng chiến dịch 2020 nở rộ mạnh mẽ trong đó có:

o   Chiến dịch dùng IP 167.114.2[.]51 diễn ra từ tháng 6/2020 – 3/2021

o   Chiến dịch dùng IP 174.136.14[.]96, 174.136.14[.]212, 162.144.144.238  diễn ra trong tháng 4/2020

o   Chiến dịch dùng IP 172.107.32[.]76 diễn ra trong tháng 6/2020

o   Chiến dịch dùng IP 174.136.14[.]95 diễn ra từ tháng 3/2020 – 4/2020

Chiến dịch dùng IP 51.79.173.73 diễn ra từ tháng 3/2021 – hiện tại

Tổng quan về các chiến dịch nghi ngờ do cùng một ổ nhóm tổ chức

Các IP này đa số sử dụng OVH Hosting hoặc có liên kết với mạng botnet là IP private 127.3.6[.]9. Thời gian hoạt động và thay đổi qua lại giữa các IP cũng trùng khớp nhau.

Ngoài ra các domain đều sử dụng HTTrack để tạo web nhanh – đó cũng là cách các domain phishing liên tục được sinh ra.

Thông qua các dữ liệu thu thập được chúng tôi nhận thấy Threat Actor này đã có sự chuyển đổi nhất định về các chủ đề lừa đảo/giả mạo nhằm tăng tỷ lệ thành công.

2. Tổng quan về chiến dịch phishing bền bỉ nhất Việt Nam năm 2020

Sự phân hoá nội dung của nhóm lừa đảo này qua các năm

Khoảng thời gian năm 2020 là lúc hoạt động mạnh nhất của nhóm này với nhiều domain và IP được sản sinh liên tục khi so sánh với các chiến dịch cũ chúng tôi điều tra được. Đây cũng là lúc VTI ghi nhận nhiều case điển hình ảnh hưởng lớn tới các Brandname.

Tần suất tạo domain trong các chiến dịch năm 2020

Có thể dễ dàng nhận thấy chiến dịch vào tháng 6/2020 kéo dài đến tháng 3/2021 là chiến dịch bền bỉ nhất với tổng số lượng domain lừa đảo được sinh ra nhiều nhất. Nhóm VTH chúng tôi cho rằng đây là khoảng thời gian mà nhiều người dùng bị ảnh hưởng nhất. Lượng tên miền này chủ yếu được phân giải từ chiến dịch sử dụng IP 167.114.2[.]51 mà chúng tôi đã cảnh báo trước đó.

Lượng domain trung bình sinh ra mỗi ngày

Chiến dịch sử dụng IP 167.114.2[.]51 được ổ nhóm này sử dụng để tạo nhiều domain giả mạo nhất, cao điểm có những ngày lên tới 35 domain được tạo mới.

Do việc đẩy mạnh giám sát cũng như takedown các domain phishing mà lượng domain tồn tại đã giảm đáng kể. Giúp các khách hàng/ người dùng hạn chế bị ảnh hưởng
Nhóm lừa đảo sử dụng HTTrack để clone và triển khai nhanh và nhiều trang phishing nhất có thể

Tuy vậy tần suất của tên miền được tạo ra liên tục cùng sự cả tin của người dùng khiến số lượng nạn nhân của nhóm tin tặc này vẫn còn nhiều.

Một trường hợp nạn nhân bị ảnh hưởng

Mạng xã hội là con đường nhanh nhất mà kẻ tấn công tiếp cận nạn nhân khiến chúng luôn phải xây dựng song song nội dung giả mạo các trang nhận thưởng facebook và các trang ngân hàng/chuyển-nhận tiền.

Các bước tiếp cận/ kịch bản tấn công có thể tham khảo lại blog cũ của chúng tôi: https://blog.viettelcybersecurity.com/canh-bao-ve-chien-dich-tan-cong-phishing-tai-viet-nam-phan-1/

Nhóm lừa đảo còn có động thái ẩn mình khi lập các tên miền lừa đảo nhưng được dựng chỉ có Landing Page hoặc nội dung trống nhằm đánh lừa các cơ chế theo dõi, sau một thời gian nhất định sẽ đổi lại giao diện và chính thức bắt đầu một chiến dịch lừa đảo mới.

Chỉ dựng Landing page không rõ nội dung

(Còn nữa)

Tác giả: Nguyễn Tuấn Anh - Team Viettel Threat Intelligence