Nghiên cứu ổ nhóm lừa đảo Phishing có bài bản quy mô lớn tại Việt Nam

Hệ thống Viettel Threat Intelligence (VTI) cảnh báo về nguy cơ tấn công phishing có chủ đích tại Việt Nam đang tiếp diễn từ năm khoảng năm 2018 đến nay. Trong quá trình điều tra, nhóm VTH (Threat Hunting team, từ hệ thống VTI) đánh giá kĩ thuật sử dụng và hình thức khai thác luôn được cập nhật và cải tiến nhằm nâng cao tỉ lệ thành công. Loạt bài viết sau đây sẽ là một cái nhìn tổng quan về nhóm lừa đảo này.

Tóm lược:

·       Hình thức tấn công: Phishing - Lừa đảo có chủ đích/mạo danh các ngân hàng, cổng thanh toán, ví điện tử tại Việt Nam.

·       Nạn nhân ảnh hưởng: người dùng ngân hàng/các thương hiệu có liên quan.

·       Thời gian hoạt động của nhóm lừa đảo này: khoảng 2018 – hiện nay.

1. Thông tin các chiến dịch

Nhóm VTH chúng tôi đã theo dõi trong thời gian dài, nhóm lừa đảo sử dụng hình thức lừa đảo chuyên nghiệp như lợi dụng các trang vay vốn, giả mạo nhiều thương hiệu lớn, các trang lừa đảo có đầu tư hơn các chiến dịch nhỏ lẻ khác (như lợi dụng nền tảng Weebly,Wix,..). Hệ thống Threat Radar VTI đã xác định nhóm lừa đảodựa vào nhiều sự tương đồng giữa các tên miền của nhiều chiến dịch lừa đảo mà chúng tôi phát hiện được trong quá trình giám sát đảm bảo an toàn thông tin cho tổ chức.

Các chiến dịch liên tục diễn ra, đã và đang nhằm vào nhiều đối tượng người dùng hiện nay. Đặc biệt ảnh hưởng lớn tới uy tín của các thương hiệu bị giả mạo, lợi dụng.
Minh hoạ tổng quan các hạ tầng IP nghi ngờ do cùng một ổ nhóm dựng lên

Nhóm VTH chúng tôi nhận định chiến dịch lừa đảo này hoạt động từ khoảng năm 2018 đến nay và không bị phát hiện qua IP: 127.3.6[.]9.

IP Private này chuyên chứa các domain phishing không được sử dụng nữa hoặc đã bị theo dõi chú ý/bị phát hiện. Các chiến dịch trước đó đều có liên kết đến nơi IP: 127.3.6[.]9 này. Mặc dù không phải mọi tên miền trong chiến dịch đề trỏ về IP này, điều này thể hiện sự chuyên nghiệp của nhóm lừa đảo khi sử dụng một IP với mục đích quản lý lưu trữ tập trung. Đây có thể coi là một đặc trưng riêng của nhóm tấn công này.

Một số mối quan hệ với các IP chiến dịch khác

Ngoài ra các domain này đều có nhiều đặc điểm chung về mã nguồn, SSL, tracker đặc biệt,…

Qua quá trình điều tra, chúng tôi nhận thấy các IP của các chiến dịch mới có nhiều điểm chung và có liên kết với các IP chiến dịch cũ cũng như IP đặc trưng 127.3.6[.]9. Đây là là một IP mang tính lưu trữ/thăm lại của nhóm lừa đảo.

Vùng chiến dịch 2020 nở rộ mạnh mẽ trong đó có:

o   Chiến dịch dùng IP 167.114.2[.]51 diễn ra từ tháng 6/2020 – 3/2021

o   Chiến dịch dùng IP 174.136.14[.]96, 174.136.14[.]212, 162.144.144.238  diễn ra trong tháng 4/2020

o   Chiến dịch dùng IP 172.107.32[.]76 diễn ra trong tháng 6/2020

o   Chiến dịch dùng IP 174.136.14[.]95 diễn ra từ tháng 3/2020 – 4/2020

Chiến dịch dùng IP 51.79.173.73 diễn ra từ tháng 3/2021 – hiện tại

Tổng quan về các chiến dịch nghi ngờ do cùng một ổ nhóm tổ chức

Các IP này đa số sử dụng OVH Hosting hoặc có liên kết với mạng botnet là IP private 127.3.6[.]9. Thời gian hoạt động và thay đổi qua lại giữa các IP cũng trùng khớp nhau.

Ngoài ra các domain đều sử dụng HTTrack để tạo web nhanh – đó cũng là cách các domain phishing liên tục được sinh ra.

Thông qua các dữ liệu thu thập được chúng tôi nhận thấy Threat Actor này đã có sự chuyển đổi nhất định về các chủ đề lừa đảo/giả mạo nhằm tăng tỷ lệ thành công.

2. Tổng quan về chiến dịch phishing bền bỉ nhất Việt Nam năm 2020

Sự phân hoá nội dung của nhóm lừa đảo này qua các năm

Khoảng thời gian năm 2020 là lúc hoạt động mạnh nhất của nhóm này với nhiều domain và IP được sản sinh liên tục khi so sánh với các chiến dịch cũ chúng tôi điều tra được. Đây cũng là lúc VTI ghi nhận nhiều case điển hình ảnh hưởng lớn tới các Brandname.

Tần suất tạo domain trong các chiến dịch năm 2020

Có thể dễ dàng nhận thấy chiến dịch vào tháng 6/2020 kéo dài đến tháng 3/2021 là chiến dịch bền bỉ nhất với tổng số lượng domain lừa đảo được sinh ra nhiều nhất. Nhóm VTH chúng tôi cho rằng đây là khoảng thời gian mà nhiều người dùng bị ảnh hưởng nhất. Lượng tên miền này chủ yếu được phân giải từ chiến dịch sử dụng IP 167.114.2[.]51 mà chúng tôi đã cảnh báo trước đó.

Lượng domain trung bình sinh ra mỗi ngày

Chiến dịch sử dụng IP 167.114.2[.]51 được ổ nhóm này sử dụng để tạo nhiều domain giả mạo nhất, cao điểm có những ngày lên tới 35 domain được tạo mới.

Do việc đẩy mạnh giám sát cũng như takedown các domain phishing mà lượng domain tồn tại đã giảm đáng kể. Giúp các khách hàng/ người dùng hạn chế bị ảnh hưởng
Nhóm lừa đảo sử dụng HTTrack để clone và triển khai nhanh và nhiều trang phishing nhất có thể

Tuy vậy tần suất của tên miền được tạo ra liên tục cùng sự cả tin của người dùng khiến số lượng nạn nhân của nhóm tin tặc này vẫn còn nhiều.

Một trường hợp nạn nhân bị ảnh hưởng

Mạng xã hội là con đường nhanh nhất mà kẻ tấn công tiếp cận nạn nhân khiến chúng luôn phải xây dựng song song nội dung giả mạo các trang nhận thưởng facebook và các trang ngân hàng/chuyển-nhận tiền.

Các bước tiếp cận/ kịch bản tấn công có thể tham khảo lại blog cũ của chúng tôi: https://blog.viettelcybersecurity.com/canh-bao-ve-chien-dich-tan-cong-phishing-tai-viet-nam-phan-1/

Nhóm lừa đảo còn có động thái ẩn mình khi lập các tên miền lừa đảo nhưng được dựng chỉ có Landing Page hoặc nội dung trống nhằm đánh lừa các cơ chế theo dõi, sau một thời gian nhất định sẽ đổi lại giao diện và chính thức bắt đầu một chiến dịch lừa đảo mới.

Chỉ dựng Landing page không rõ nội dung

3. Những dấu vết mới.
Với chiến dịch lừa đảo xuất phát từ IP 167.114.2.[.]51 diễn ra trong thời gian dài đội ngũ VTH chúng tôi cực kỳ chú trọng theo dõi và giám sát nhằm đảm bảo an toàn thương hiệu cho khách hàng và người dùng. Với nhiều kỹ thuật nghiệp vụ cùng sự theo dõi sát sao, đội ngũ đã lấy được mã nguồn của một tên miền trong chiến dịch này, kèm theo đó là rất nhiều thông tin có giá trị.

Mã nguồn thu thập được
Một form mà đối tượng đang phát triển được chúng tôi tải về phân tích

Với mã nguồn thu thập được nhóm chúng tôi đánh giá đây có thể sẽ là form lừa đảo mới mà nhóm này đang phát triển và có thể sẽ dùng trong các chiến dịch sau này.

Đặc biệt form lừa đảo mới có giao diện chau chuốt hơn và giả mạo đầy đủ các ngân hàng, cổng thanh toán,... Tuy rằng vẫn đang xây dựng nhưng có thể thấy đây là sự cải tiến tinh vi hơn từ nhóm này.

Một số thông tin ở loạt blog trước cùng sự so sánh nhất định với các mã nguồn thu thập được cho thấy nhiều điểm tương đồng với các IP lừa đảo trước đó mà cụ thể là IP ở chiến dịch tháng 3/2020, chúng tôi đã xâu chuỗi và nhận định toàn cảnh chiến dịch do nhóm này thực hiện một cách cụ thể nhất.

Source của một chiến dịch IP cũ được bê sang IP mới này

Nhóm chúng tôi cũng phát hiện ổ nhóm này còn giả mạo nhiều thương hiệu khác như Shopee, VTCPay, ViettelPay,… . Một số tên miền được dựng lên đều có những chức năng liên kết với các ngân hàng từ đó chiến đoạt thông tin tài khoản người dùng.

Giả mạo Shopee để chiếm đoạt thông tin người dùng

Đặc biệt khi phân tích source code, chúng tôi phát hiện một số email để nhận thông tin khách hàng bị lừa nhập vào, từ đó đánh cắp thông tin, tiền/tài sản của người dùng.

Hình ảnh lấy từ một số file trong source code được VTI tải về

Đây là manh mối lớn vì các email này rất đặc trưng. Từ một số email này kết hợp với các kỹ thuật OSINT chúng tôi đã tìm thấy nhiều thông tin người dùng như Facebook cá nhân, tiểu sử, bảng điểm, địa chỉ,.. của đối tượng nghi ngờ thuộc nhóm lừa đảo này.

Một số thông tin đối tượng tình nghi

Trong khoảng 30 phút sau đó đối tượng đa ngay lập tức nhận thấy trang web có dấu hiệu bị lấy nhiều thông tin, đối tượng ngay sau đó đã khắc phục và xoá đi nhiều dấu vết quan trọng.

Chúng tôi nghi vấn đây có thể là một thành viên của ổ nhóm này hoặc Email trong source code là email bị chiếm đoạt.

4. Các chiến dịch “nguy hiểm” tiếp theo.

Sau khi để lộ nhiều thông tin quan trọng cũng như đang biết bị theo dõi, nhóm Lừa đảo đã trả lại IP 167.114.2[.]51 đang sử dụng và bắt đầu chuyển hạ tầng IP mới.

IP sau khi trả lại sẽ được OVH trỏ về các domain đặc trưng

Ngoài ra khi nhận thấy IP “bãi rác” 127.3.6[.]9 không mang lại nhiều giá trị thực sự có thể chúng đã từ bỏ hoặc chuyển sang một IP có chức năng mục đích tương tự.

Trong một số trường hợp lừa đảo, chúng tôi phát hiện ra vào tháng 2 đã tình cờ nhận thấy nhiều điểm khả nghi từ tên miền có phân giải tới IP 51.79.173[.]73. Sau khi tra soát các thông tin bao gồm cả source code từ hạ tầng IP cũ và kết hợp với thời gian phân giải tên miền mới ở IP này chúng tôi đã khẳng định rằng đây là hạ tầng mới của nhóm lừa đảo.

Một chiến dịch mới vào tháng 2

Các tên miền lừa đảo được sử dụng gần giống với thương hiệu các ngân hàng, áp dụng kỹ thuật Typosquatting. Nhóm cũng sử dụng các tên miền vay vốn dễ bị các hệ thống chống lừa đảo bỏ qua và sử dụng nhiều tên miền lạ, dựng kịch bản lừa đảo tra soát giao dịch/biến động số dư. Đối với hình thức này người dùng phải cẩn thận và chú ý khi có yêu cầu tra soát vì ngân hàng chỉ được quyền thực hiện tra soát khi nhận được yêu cầu từ chính khách hàng và cần thông qua nhiều bước xác thực.

Form mới trong mã nguồn chúng tôi tìm từ IP chiến dịch cũ cũng đã được hoàn thiện và đưa vào hoạt động

Ngoài ra, nhằm nâng cao tỉ lệ thành công ổ nhóm này cũng đã cải tiến các Feature page được chăm chút tỉ mỉ, code lại rất giống với các trang chính thức của các ngân hàng kết hợp việc sử dụng Form lừa đảo mới.

Một số trang lừa đảo "nhìn uy tín" hơn hẳn
Cải tiến trong các Feature page - trang lừa đảo và trang thật khá giống nhau

Nhóm lừa đảo thường cập nhật đồng bộ hàng loạt các trang mới với tính năng giao diện giống nhau trên các tên miền còn “sống”. Trong quá trình theo dõi, chúng tôi nhận thấy các Feature page của các trang lừa đảo vẫn luôn được cải tiến liên tục.

Đầy đủ các ngân hàng mà chúng đã liệt kê xây dựng ở chiến dịch cũ ( 167.114.2[.]51 )

Trong quá trình xây dựng chức năng cho các trang lừa đảo hoặc tinh chỉnh tính năng/code để hạn chế việc bị phát hiện và “chết yểu”, nhóm này sử dụng Blank Page không có nội dung rõ ràng hoặc Landing page để ẩn mình.

Nội dung không rõ ràng, khó bị đánh giá và dễ bị bỏ qua

IP sử dụng trong chiến dịch mới này bắt đầu từ tháng 2 và đang được tiếp tục sản sinh ra nhiều tên miền giả mạo/lừa đảo mới.

Dự kiến trong thời gian tới khi việc khai thác không còn hiệu quả (Vì IP sử dụng sẽ vào danh sách Blacklist của nhiều tổ chức), nhóm này có thể sẽ ngưng sử dụng hạ tầng IP 51.79.173[.]73 và chuyển sang hạ tầng khác với nội dung và kỹ thuật đa dạng hơn.

Để tiếp tục theo dõi và xem những nội dung chi tiết hơn nữa của chiến dịch này, độc giả có thể đăng ký tài khoản tại trang cyberintel.io để sử dụng dịch vụ Viettel Threat Intelligence.

5. Phần kết

Tình trạng lừa đảo/giả mạo thương hiệu nhằm đánh cắp thông tin người dùng gây ảnh đến chính người dùng nói chung và tới các thương hiệu bị giả mạo nói riêng là rất lớn. Do các đối tượng nhằm vào người dùng Việt Nam rất nhiều nên đội ngũ VTI cũng đã nghiên cứu, điều tra nhiều phương diện và cho rằng nhóm lừa đảo sinh hoạt theo khung giờ Việt Nam (GMT +7) hoặc các khung giờ GMT +6 / GMT +8 (của các nước láng giềng trong khu vực).

Số lượng domain trung bình được tạo trong 1-2 ngày Tết
Lịch “Nghỉ Tết” của ổ nhóm này trong năm 2021

Phân bố số lượng tên miền Phishing đăng ký theo giờ Việt Nam trong ngày của chiến dịch cũ và mới rất đặc trưng:

Phân bố số lượng tên miền Phishing đăng ký theo giờ trong ngày của chiến dịch cũ và mới

Dựa vào các thông tin thu thập được và đánh giá, so sánh, chúng tôi đưa ra một số kết luận về nhóm lừa đảo này như sau:

Dấu hiệu tấn công (IOCs):

IP Phishing:

·       51.79.173[.]73 ( Khuyến nghị Blacklist và theo dõi 3 tháng trở lên )

·       127.3.6[.]9 ( Tracking điều tra )

IP sử dụng trong các chiến dịch Targeted:

·       152.32.250[.]127

·       152.32.250[.]126

·       152.32.250[.]2

·       152.32.223[.]240

·       152.32.250[.]81

Một số chiến dịch đã kết thúc mang tính tham khảo

·       167.114.2[.]51

·       162.144.144.238

·       174.136.14[.]96

·       174.136.14[.]212

·       174.136.14[.]106

·       174.136.14[.]218

·       174.136.14[.]95

·       174.136.14[.]8

·       174.136.15[.]153

·       174.136.15[.]241

·       174.136.15[.]95

·       172.107.32[.]76

·       143.95.63[.]79

·       143.95.102[.]155

·       143.95.62[.]9

·       142.44.160[.]84

·       139.99.43[.]219

·       158.69.193[.]139

·       104.161.94[.]163

·       207.210.202[.]185

·       207.210.192[.]64

·       Chiến dịch năm 2018-2019:

o   27.120.113[.]34

o   207.210.203[.]251

Một số domain phishing lừa đảo ( từ đầu năm 2021 )

·       vaynhanhvn.com

·       saokegiaodich86.com

·       tindung-online.com

·       bcdeas.com

·       ebank-digibank.com

·       ….

Tác giả: Nguyễn Tuấn Anh - Team Viettel Threat Intelligence