Vào năm 2019, tại Hội nghị RSA được tổ chức tại Hoa Kỳ, công ty Veloxity (Hoa Kỳ) đã có một bài thuyết trình nhằm cung cấp thông tin về nguồn gốc và các hoạt động của OceanLotus. Đáng chú ý, Veloxity tiết lộ rằng, OceanLotus đã thiết lập và điều hành nhiều trang web cung cấp tin tức và thông tin về chống tham nhũng trong nhiều năm qua. Thoạt nhìn, các trang web giả mạo rất giống với các trang web chính thức đang hoạt động. Nhưng OceanLotus có toàn quyền kiểm soát việc theo dõi và tấn công khách truy cập các trang web giả mạo này. Trong số này có cả Facebook giả mạo với hơn 20.000 người theo dõi.
Ngay sau khi bài thuyết trình được đưa ra, các trang web giả mạo đã bị đóng cửa hoặc dừng hoạt động. Nhưng vào đầu năm 2020, các nhà nghiên cứu đã phát hiện một chiến dịch lớn sử dụng rất nhiều các trang web giả mạo mà OceanLotus tận dụng để tấn công người dùng các nước láng giềng Việt Nam.
Trong suốt thời gian qua, các chuyên gia tại Volexity đã xác định được nhiều trang web tin tức bằng tiếng Việt dường như đã bị xâm nhập, sử dụng để tải xuống một bộ công cụ của OceanLotus. Tính năng của mỗi bộ công cụ khác nhau trên các website, nhưng mục tiêu chung nhằm thu thập thông tin về người dùng truy cập trang web. Trong một số trường hợp, chúng phát tán các phần mềm độc hại.
Tuy nhiên, khi kiểm tra kỹ hơn các trang web, các chuyên gia nhận thấy các trang web không bị xâm nhập, thay vào đó chúng được tạo và vận hành bởi OceanLotus. Mỗi trang web đều được đầu tư rất nhiều công sức để xây dựng. Chúng có rất nhiều chủ đề, nội dung, thậm chí cả hình ảnh và khẩu hiệu tùy chỉnh. Các trang tin tức này chứa nhiều nội dung, tuy nhiên không chuyển hướng độc hại và có đầy đủ các menu chỉ mục. Chỉ một số ít các bài báo cụ thể trong mỗi trang web có chứa nội dung độc hại. Các trang web khác nhau về chủ đề, với một số tập trung vào tin tức Việt Nam trong khi những trang khác tập trung vào tin tức theo chủ đề xung quanh các quốc gia Đông Nam Á.
Dưới đây là danh sách các trang web bạn đọc cần lưu ý trước khi truy cập.
Mặc dù, một số trang web ở trên có thể sử dụng bố cục tương tự, nhưng đại đa số có chủ đề riêng nên người dùng sẽ không nhận thấy sự liên quan. Các trang web cũng chủ yếu đăng tải nhiều loại tin tức gây tò mò đối với người đọc và hướng tới một nhóm người dùng cụ thể.
Trong đó có một trang web khác biệt so với các trang web còn lại và mang tính chất chính trị là nhansudaihoi13[.]org; liên quan đến Đại hội Cộng sản Việt Nam lần thứ 13 sắp tới. Song song, trang web này có một trang Facebook tương ứng chứa đầy đủ các bài đăng được sao chép từ các cơ quan truyền thông Việt Nam, tập trung vào vấn đề tham nhũng trong chính trị tại Việt Nam. Trang có hơn 1.000 lượt thích và thu hút tương tác từ một số cá nhân tại Việt Nam. Đáng chú ý, trang Facebook có một tài khoản Messenger liên kết với nó có thể sử dụng để gửi tin nhắn cho các cá nhân có lợi ích.
Các trang web thường chứa nhiều bài báo và nội dung để làm cho chúng có vẻ hợp pháp. Một số trang web có hơn 10.000 tin bài riêng lẻ. Nội dung phần lớn là thu thập và đăng lại từ nhiều trang tin tức trực tuyến hợp pháp khác. Có vẻ như nó thực hiện theo cách tự động và rất có thể thông qua các plugin WordPress. Người truy cập trang web sẽ được phân loại tự động qua các công cụ lập hồ sơ: người tình cờ truy cập đến trang và những mục tiêu cụ thể được gửi những liên kết đến các bài có chứa phần mềm độc hại thông qua các tin nhắn lừa đảo trực tuyến và mạng xã hội.
Khi người dùng truy cập một bài có chứa mã độc hại trên web, JavaScript độc hại sẽ được tải xuống và thực thi trên trình duyệt của người dùng web. Hoạt động của tập lệnh là khác nhau giữa các trang bị nhiễm khác nhau nhưng nhìn chung có hai phần: một tập lệnh để nắm bắt và lưu trữ thông tin về khách truy cập và một tập lệnh để đánh lừa người dùng tải xuống phần mềm hoặc tài liệu giả mạo. Chức năng của phần mềm được tải xuống dựa trên trình duyệt của người dùng và nội dung.
Để minh họa một ví dụ thực tế về cách hoạt động và giao diện của điều này đối với khách truy cập trang web, phần dưới đây sẽ sử dụng trang web giả mạo baomoivietnam[.]com với tin bài "Đại học Tôn Đức Thắng: Hiệu trưởng lạm quyền để xảy ra nhiều sai phạm" để lừa người dùng cài đặt mã độc hại. Sau khi truy cập vào trang web, máy tính người dùng sẽ tải JavaScript độc hại từ tên miền cdn.arbenha[.]com với nội dung là một trình phát video giả mạo. Lúc đầu, trang sẽ hiển thị hộp thoại cho biết video đang tải như Hình 1.
Hình 1: Một hộp thoại mô tả video đang được tải xuống
Nếu người dùng truy cập sử dụng hệ điều hành Windows, thì sau một vài giây video sẽ không tải được. Một thông báo sẽ được hiển thị cho biết rằng cần phải có Flash Player, kèm với một nút hướng người dùng nhấp vào để nâng cấp trình duyệt như Hình 2.
Hình 2: Thông báo yêu cầu người dùng nâng cấp Flash Player
Khi người dùng bấm vào nút “Nâng cấp ngay” thì máy tính sẽ tải về 1 tập tin RAR có tên là Adobe_Flash_Install. Tập tin này có chứa phần mềm độc hại chuyên được sử dụng bởi OceanLotus có tên gọi Cobalt Strike. Tuy nhiên, nếu người dùng đang sử dụng thiết bị di động truy cập trên nền tảng iOS hoặc Android, thì một hình ảnh sẽ hiển thị, yêu cầu “đăng nhập” để xem video có chứa nội dung giới hạn độ tuổi.
Hình 3: Thông báo yêu cầu đăng nhập nếu truy cập từ thiết bị di động
Nút “ĐĂNG NHẬP” chứa một siêu liên kết đến một trang chứa các bài đánh giá từ tên miền account.gservice[.]reviews. Mục đích chính của chúng là lừa đảo thông tin mật khẩu của người dùng. Cuối cùng, nếu người dùng cố gắng truy cập trang bằng thiết bị không thể xác định qua payload, thì website sẽ hiển thị nội dung không thể phát trên thiết bị này (Hình 4).
Hình 4: Thông báo khi truy cập không phải từ thiết bị Windows, Android và iOS
Tập tin Adobe_Flash_install.rar từ trang web baomoivietnam[.]com chứa các tệp tin Flash_Adobe_Install.exe và goopdate.dll. Trong đó, tập tin goopdate.dll là một tập tin độc hại có chứa thuộc tính ẩn, nên sẽ không hiển thị với cấu hình mặc định của Windows Explorer trên Windows.
Khi chương trình khởi chạy sẽ kết nối đến địa chỉ quản trị tại tên miền summerevent.webhop[.]net để tải về các thành phần khác và nhận lệnh điều khiển. Từ đây OceanLotus sẽ có toàn quyền điều khiển máy của nạn nhân.
OceanLotus đang tiếp tục phát triển các cách thức để nhắm mục tiêu vào các cá nhân bên ngoài hoạt động lừa đảo trực tuyến và tận dụng các trang web bị xâm phạm. Việc tạo và duy trì một số trang web, sẽ nhằm mục đích tăng sự hiện diện trên mạng nhiều hơn và sử dụng chúng để tấn công khách truy cập. Nỗ lực này cho thấy OceanLotus sẽ còn tăng cường mở rộng phạm vi tiếp cận và tìm ra những cách thức mới để tấn công các cá nhân và tổ chức mục tiêu.
Người dùng cần nâng cao cảnh giác với các trang web truy cập, đặc biệt nếu các trang web có liên kết được gửi thông qua dịch vụ e-mail, trò chuyện, nhắn tin hoặc thậm chí là SMS. Hơn nữa, người dùng nên hết sức thận trọng nếu một trang web hiển thị tệp yêu cầu tải xuống hoặc đăng nhập.
Đăng Thứ (Theo Volexity)
10:00 | 13/05/2020
14:00 | 10/12/2020
08:00 | 05/04/2021
10:00 | 07/04/2023
14:00 | 04/05/2024
10:47 | 17/08/2016
13:00 | 24/04/2020
10:00 | 08/05/2024
10:00 | 19/08/2024
Công ty an ninh mạng Fortra (Hoa Kỳ) đã đưa ra cảnh báo về một lỗ hổng mới nghiêm trọng được phát hiện trên Windows có thể gây ra hiện tượng “màn hình xanh chết chóc”, đe dọa đến dữ liệu và hệ thống của hàng triệu người dùng.
16:00 | 06/08/2024
Nhóm tin tặc Stargazer Goblin thực hiện phân phối dưới dạng dịch vụ (DaaS) phần mềm độc hại từ hơn 3.000 tài khoản giả mạo trên GitHub.
13:00 | 01/08/2024
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung 2 lỗ hổng bảo mật vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác tích cực trong thực tế.
14:00 | 02/07/2024
Các nhà nghiên cứu an ninh mạng đã đưa ra chi tiết về một lỗ hổng bảo mật hiện đã được vá ảnh hưởng đến nền tảng cơ sở hạ tầng trí tuệ nhân tạo (AI) nguồn mở Ollama có thể bị khai thác để thực thi mã từ xa (RCE).
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
09:00 | 08/10/2024