V. Dữ liệu ghi nhận trong chiến dịch.

H19. Hình ảnh mô tả số lượng các bản ghi mà VCS-TI thu thập được trong chiến dịch vừa qua
H20. Bảng phân bố các quốc gia bị ảnh hưởng trên toàn cầu dựa theo số lượng bản ghi

Bảng thống kê sơ bộ về số lượng các dịch vụ bị ảnh hưởng

VI. IOCs

• piratesfile[.]com

• turboc[.]me/download-turbo-c-file/

• tntapk[.]com

• productscrack[.]com

• piratepc[.]me

• download[.]freedownloadmanager[.]org

• 3.208.26[.]195

• 54.68.123[.]44

• 54.211.166[.]69

• 3.81.209[.]129

• 13.58.197[.]89

Bằng một số phương pháp OSINT, VCS-TI phát hiện thêm nhiều nhóm website phát tán cùng loại mã độc như:

VII. Yara Rule

VIII. Khuyến cáo

Việc lộ lọt thông tin như trên ảnh hưởng nghiêm trọng tới thương hiệu và uy tín của các bên chịu ảnh hưởng. Kẻ xấu có thể lợi dụng các thông tin này để nhằm thực hiện một số hành vi trái phép như:

• Trực tiếp làm thất thoát tài sản của cá nhân bị lộ lọt.

• Lợi dụng nhằm thu thập trái phép các thông tin nhạy cảm của nạn nhân bên trong hệ thống.

• Thực hiện các hành vi rao bán thông tin cá nhân trên không gian mạng để trục lợi.

Khuyến cáo được đưa ra để giảm thiểu rủi ro đến từ mã độc Oski như sau:

• Không/hạn chế tải về các phần mềm crack, các phần mềm không rõ nguồn gốc tiềm ẩn nguy cơ xuất hiện tràn lan trên không gian mạng.

• Hạn chế sử dụng tính năng lưu mật khẩu trên trình duyệt để giảm thiểu rủi ro bị lộ lọt thông tin.

• Không lưu các dữ liệu quan trọng trong các file text ngoài thư mục Desktop, Documents,.. ( Hình 9 ). Thay vào đó hãy sử dụng một số phần mềm có tính năng lưu mật khẩu tương tự như KeyPass hoặc AnyPassword,…

• Đổi mật khẩu thường xuyên (3 tháng 1 lần) để ngăn ngừa rủi ro xảy ra.

• Bật tính năng xác thực đa yếu tố cho tài khoản đăng nhập.

• Hạn chế sử dụng lại mật khẩu trên nhiều nền tảng khác nhau. Kẻ tấn công có thể dễ dàng dò quét ra các dịch vụ mà người dùng sử dụng khác và tấn công Brute Force bằng các mật khẩu đã bị lộ lọt.

• Trong trường hợp không may bị nhiễm mã độc hoặc nghi ngờ bị nhiễm mã độc:

o Cập nhật, cài đặt đầy đủ bản thông tin mới nhất về chiến dịch này cho giải pháp về ATTT (VD: Anti-virus, EDR…)

o Dựa vào dấu hiệu nhận biết mã độc để loang và tìm kiếm những máy bị nhiễm.

IX. Phụ lục

Phụ lục 1: Mô tả ví dụ về tập tin bị lộ lọt:

Phụ lục 2: MITRE ATT&CK

H21. Các kĩ thuật được sử dụng trong bài viết.

Tác giả: Nhóm Viettel Threat Intelligence (VCS-TI)