Vào năm 2019, tại Hội nghị RSA được tổ chức tại Hoa Kỳ, công ty Veloxity (Hoa Kỳ) đã có một bài thuyết trình nhằm cung cấp thông tin về nguồn gốc và các hoạt động của OceanLotus. Đáng chú ý, Veloxity tiết lộ rằng, OceanLotus đã thiết lập và điều hành nhiều trang web cung cấp tin tức và thông tin về chống tham nhũng trong nhiều năm qua. Thoạt nhìn, các trang web giả mạo rất giống với các trang web chính thức đang hoạt động. Nhưng OceanLotus có toàn quyền kiểm soát việc theo dõi và tấn công khách truy cập các trang web giả mạo này. Trong số này có cả Facebook giả mạo với hơn 20.000 người theo dõi.
Ngay sau khi bài thuyết trình được đưa ra, các trang web giả mạo đã bị đóng cửa hoặc dừng hoạt động. Nhưng vào đầu năm 2020, các nhà nghiên cứu đã phát hiện một chiến dịch lớn sử dụng rất nhiều các trang web giả mạo mà OceanLotus tận dụng để tấn công người dùng các nước láng giềng Việt Nam.
Trong suốt thời gian qua, các chuyên gia tại Volexity đã xác định được nhiều trang web tin tức bằng tiếng Việt dường như đã bị xâm nhập, sử dụng để tải xuống một bộ công cụ của OceanLotus. Tính năng của mỗi bộ công cụ khác nhau trên các website, nhưng mục tiêu chung nhằm thu thập thông tin về người dùng truy cập trang web. Trong một số trường hợp, chúng phát tán các phần mềm độc hại.
Tuy nhiên, khi kiểm tra kỹ hơn các trang web, các chuyên gia nhận thấy các trang web không bị xâm nhập, thay vào đó chúng được tạo và vận hành bởi OceanLotus. Mỗi trang web đều được đầu tư rất nhiều công sức để xây dựng. Chúng có rất nhiều chủ đề, nội dung, thậm chí cả hình ảnh và khẩu hiệu tùy chỉnh. Các trang tin tức này chứa nhiều nội dung, tuy nhiên không chuyển hướng độc hại và có đầy đủ các menu chỉ mục. Chỉ một số ít các bài báo cụ thể trong mỗi trang web có chứa nội dung độc hại. Các trang web khác nhau về chủ đề, với một số tập trung vào tin tức Việt Nam trong khi những trang khác tập trung vào tin tức theo chủ đề xung quanh các quốc gia Đông Nam Á.
Dưới đây là danh sách các trang web bạn đọc cần lưu ý trước khi truy cập.
Mặc dù, một số trang web ở trên có thể sử dụng bố cục tương tự, nhưng đại đa số có chủ đề riêng nên người dùng sẽ không nhận thấy sự liên quan. Các trang web cũng chủ yếu đăng tải nhiều loại tin tức gây tò mò đối với người đọc và hướng tới một nhóm người dùng cụ thể.
Trong đó có một trang web khác biệt so với các trang web còn lại và mang tính chất chính trị là nhansudaihoi13[.]org; liên quan đến Đại hội Cộng sản Việt Nam lần thứ 13 sắp tới. Song song, trang web này có một trang Facebook tương ứng chứa đầy đủ các bài đăng được sao chép từ các cơ quan truyền thông Việt Nam, tập trung vào vấn đề tham nhũng trong chính trị tại Việt Nam. Trang có hơn 1.000 lượt thích và thu hút tương tác từ một số cá nhân tại Việt Nam. Đáng chú ý, trang Facebook có một tài khoản Messenger liên kết với nó có thể sử dụng để gửi tin nhắn cho các cá nhân có lợi ích.
Các trang web thường chứa nhiều bài báo và nội dung để làm cho chúng có vẻ hợp pháp. Một số trang web có hơn 10.000 tin bài riêng lẻ. Nội dung phần lớn là thu thập và đăng lại từ nhiều trang tin tức trực tuyến hợp pháp khác. Có vẻ như nó thực hiện theo cách tự động và rất có thể thông qua các plugin WordPress. Người truy cập trang web sẽ được phân loại tự động qua các công cụ lập hồ sơ: người tình cờ truy cập đến trang và những mục tiêu cụ thể được gửi những liên kết đến các bài có chứa phần mềm độc hại thông qua các tin nhắn lừa đảo trực tuyến và mạng xã hội.
Khi người dùng truy cập một bài có chứa mã độc hại trên web, JavaScript độc hại sẽ được tải xuống và thực thi trên trình duyệt của người dùng web. Hoạt động của tập lệnh là khác nhau giữa các trang bị nhiễm khác nhau nhưng nhìn chung có hai phần: một tập lệnh để nắm bắt và lưu trữ thông tin về khách truy cập và một tập lệnh để đánh lừa người dùng tải xuống phần mềm hoặc tài liệu giả mạo. Chức năng của phần mềm được tải xuống dựa trên trình duyệt của người dùng và nội dung.
Để minh họa một ví dụ thực tế về cách hoạt động và giao diện của điều này đối với khách truy cập trang web, phần dưới đây sẽ sử dụng trang web giả mạo baomoivietnam[.]com với tin bài "Đại học Tôn Đức Thắng: Hiệu trưởng lạm quyền để xảy ra nhiều sai phạm" để lừa người dùng cài đặt mã độc hại. Sau khi truy cập vào trang web, máy tính người dùng sẽ tải JavaScript độc hại từ tên miền cdn.arbenha[.]com với nội dung là một trình phát video giả mạo. Lúc đầu, trang sẽ hiển thị hộp thoại cho biết video đang tải như Hình 1.
Hình 1: Một hộp thoại mô tả video đang được tải xuống
Nếu người dùng truy cập sử dụng hệ điều hành Windows, thì sau một vài giây video sẽ không tải được. Một thông báo sẽ được hiển thị cho biết rằng cần phải có Flash Player, kèm với một nút hướng người dùng nhấp vào để nâng cấp trình duyệt như Hình 2.
Hình 2: Thông báo yêu cầu người dùng nâng cấp Flash Player
Khi người dùng bấm vào nút “Nâng cấp ngay” thì máy tính sẽ tải về 1 tập tin RAR có tên là Adobe_Flash_Install. Tập tin này có chứa phần mềm độc hại chuyên được sử dụng bởi OceanLotus có tên gọi Cobalt Strike. Tuy nhiên, nếu người dùng đang sử dụng thiết bị di động truy cập trên nền tảng iOS hoặc Android, thì một hình ảnh sẽ hiển thị, yêu cầu “đăng nhập” để xem video có chứa nội dung giới hạn độ tuổi.
Hình 3: Thông báo yêu cầu đăng nhập nếu truy cập từ thiết bị di động
Nút “ĐĂNG NHẬP” chứa một siêu liên kết đến một trang chứa các bài đánh giá từ tên miền account.gservice[.]reviews. Mục đích chính của chúng là lừa đảo thông tin mật khẩu của người dùng. Cuối cùng, nếu người dùng cố gắng truy cập trang bằng thiết bị không thể xác định qua payload, thì website sẽ hiển thị nội dung không thể phát trên thiết bị này (Hình 4).
Hình 4: Thông báo khi truy cập không phải từ thiết bị Windows, Android và iOS
Tập tin Adobe_Flash_install.rar từ trang web baomoivietnam[.]com chứa các tệp tin Flash_Adobe_Install.exe và goopdate.dll. Trong đó, tập tin goopdate.dll là một tập tin độc hại có chứa thuộc tính ẩn, nên sẽ không hiển thị với cấu hình mặc định của Windows Explorer trên Windows.
Khi chương trình khởi chạy sẽ kết nối đến địa chỉ quản trị tại tên miền summerevent.webhop[.]net để tải về các thành phần khác và nhận lệnh điều khiển. Từ đây OceanLotus sẽ có toàn quyền điều khiển máy của nạn nhân.
OceanLotus đang tiếp tục phát triển các cách thức để nhắm mục tiêu vào các cá nhân bên ngoài hoạt động lừa đảo trực tuyến và tận dụng các trang web bị xâm phạm. Việc tạo và duy trì một số trang web, sẽ nhằm mục đích tăng sự hiện diện trên mạng nhiều hơn và sử dụng chúng để tấn công khách truy cập. Nỗ lực này cho thấy OceanLotus sẽ còn tăng cường mở rộng phạm vi tiếp cận và tìm ra những cách thức mới để tấn công các cá nhân và tổ chức mục tiêu.
Người dùng cần nâng cao cảnh giác với các trang web truy cập, đặc biệt nếu các trang web có liên kết được gửi thông qua dịch vụ e-mail, trò chuyện, nhắn tin hoặc thậm chí là SMS. Hơn nữa, người dùng nên hết sức thận trọng nếu một trang web hiển thị tệp yêu cầu tải xuống hoặc đăng nhập.
Đăng Thứ (Theo Volexity)
10:00 | 13/05/2020
14:00 | 10/12/2020
08:00 | 05/04/2021
10:47 | 17/08/2016
10:00 | 07/04/2023
13:00 | 24/04/2020
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024
