Vào năm 2019, tại Hội nghị RSA được tổ chức tại Hoa Kỳ, công ty Veloxity (Hoa Kỳ) đã có một bài thuyết trình nhằm cung cấp thông tin về nguồn gốc và các hoạt động của OceanLotus. Đáng chú ý, Veloxity tiết lộ rằng, OceanLotus đã thiết lập và điều hành nhiều trang web cung cấp tin tức và thông tin về chống tham nhũng trong nhiều năm qua. Thoạt nhìn, các trang web giả mạo rất giống với các trang web chính thức đang hoạt động. Nhưng OceanLotus có toàn quyền kiểm soát việc theo dõi và tấn công khách truy cập các trang web giả mạo này. Trong số này có cả Facebook giả mạo với hơn 20.000 người theo dõi.
Ngay sau khi bài thuyết trình được đưa ra, các trang web giả mạo đã bị đóng cửa hoặc dừng hoạt động. Nhưng vào đầu năm 2020, các nhà nghiên cứu đã phát hiện một chiến dịch lớn sử dụng rất nhiều các trang web giả mạo mà OceanLotus tận dụng để tấn công người dùng các nước láng giềng Việt Nam.
Trong suốt thời gian qua, các chuyên gia tại Volexity đã xác định được nhiều trang web tin tức bằng tiếng Việt dường như đã bị xâm nhập, sử dụng để tải xuống một bộ công cụ của OceanLotus. Tính năng của mỗi bộ công cụ khác nhau trên các website, nhưng mục tiêu chung nhằm thu thập thông tin về người dùng truy cập trang web. Trong một số trường hợp, chúng phát tán các phần mềm độc hại.
Tuy nhiên, khi kiểm tra kỹ hơn các trang web, các chuyên gia nhận thấy các trang web không bị xâm nhập, thay vào đó chúng được tạo và vận hành bởi OceanLotus. Mỗi trang web đều được đầu tư rất nhiều công sức để xây dựng. Chúng có rất nhiều chủ đề, nội dung, thậm chí cả hình ảnh và khẩu hiệu tùy chỉnh. Các trang tin tức này chứa nhiều nội dung, tuy nhiên không chuyển hướng độc hại và có đầy đủ các menu chỉ mục. Chỉ một số ít các bài báo cụ thể trong mỗi trang web có chứa nội dung độc hại. Các trang web khác nhau về chủ đề, với một số tập trung vào tin tức Việt Nam trong khi những trang khác tập trung vào tin tức theo chủ đề xung quanh các quốc gia Đông Nam Á.
Dưới đây là danh sách các trang web bạn đọc cần lưu ý trước khi truy cập.
Mặc dù, một số trang web ở trên có thể sử dụng bố cục tương tự, nhưng đại đa số có chủ đề riêng nên người dùng sẽ không nhận thấy sự liên quan. Các trang web cũng chủ yếu đăng tải nhiều loại tin tức gây tò mò đối với người đọc và hướng tới một nhóm người dùng cụ thể.
Trong đó có một trang web khác biệt so với các trang web còn lại và mang tính chất chính trị là nhansudaihoi13[.]org; liên quan đến Đại hội Cộng sản Việt Nam lần thứ 13 sắp tới. Song song, trang web này có một trang Facebook tương ứng chứa đầy đủ các bài đăng được sao chép từ các cơ quan truyền thông Việt Nam, tập trung vào vấn đề tham nhũng trong chính trị tại Việt Nam. Trang có hơn 1.000 lượt thích và thu hút tương tác từ một số cá nhân tại Việt Nam. Đáng chú ý, trang Facebook có một tài khoản Messenger liên kết với nó có thể sử dụng để gửi tin nhắn cho các cá nhân có lợi ích.
Các trang web thường chứa nhiều bài báo và nội dung để làm cho chúng có vẻ hợp pháp. Một số trang web có hơn 10.000 tin bài riêng lẻ. Nội dung phần lớn là thu thập và đăng lại từ nhiều trang tin tức trực tuyến hợp pháp khác. Có vẻ như nó thực hiện theo cách tự động và rất có thể thông qua các plugin WordPress. Người truy cập trang web sẽ được phân loại tự động qua các công cụ lập hồ sơ: người tình cờ truy cập đến trang và những mục tiêu cụ thể được gửi những liên kết đến các bài có chứa phần mềm độc hại thông qua các tin nhắn lừa đảo trực tuyến và mạng xã hội.
Khi người dùng truy cập một bài có chứa mã độc hại trên web, JavaScript độc hại sẽ được tải xuống và thực thi trên trình duyệt của người dùng web. Hoạt động của tập lệnh là khác nhau giữa các trang bị nhiễm khác nhau nhưng nhìn chung có hai phần: một tập lệnh để nắm bắt và lưu trữ thông tin về khách truy cập và một tập lệnh để đánh lừa người dùng tải xuống phần mềm hoặc tài liệu giả mạo. Chức năng của phần mềm được tải xuống dựa trên trình duyệt của người dùng và nội dung.
Để minh họa một ví dụ thực tế về cách hoạt động và giao diện của điều này đối với khách truy cập trang web, phần dưới đây sẽ sử dụng trang web giả mạo baomoivietnam[.]com với tin bài "Đại học Tôn Đức Thắng: Hiệu trưởng lạm quyền để xảy ra nhiều sai phạm" để lừa người dùng cài đặt mã độc hại. Sau khi truy cập vào trang web, máy tính người dùng sẽ tải JavaScript độc hại từ tên miền cdn.arbenha[.]com với nội dung là một trình phát video giả mạo. Lúc đầu, trang sẽ hiển thị hộp thoại cho biết video đang tải như Hình 1.
Hình 1: Một hộp thoại mô tả video đang được tải xuống
Nếu người dùng truy cập sử dụng hệ điều hành Windows, thì sau một vài giây video sẽ không tải được. Một thông báo sẽ được hiển thị cho biết rằng cần phải có Flash Player, kèm với một nút hướng người dùng nhấp vào để nâng cấp trình duyệt như Hình 2.
Hình 2: Thông báo yêu cầu người dùng nâng cấp Flash Player
Khi người dùng bấm vào nút “Nâng cấp ngay” thì máy tính sẽ tải về 1 tập tin RAR có tên là Adobe_Flash_Install. Tập tin này có chứa phần mềm độc hại chuyên được sử dụng bởi OceanLotus có tên gọi Cobalt Strike. Tuy nhiên, nếu người dùng đang sử dụng thiết bị di động truy cập trên nền tảng iOS hoặc Android, thì một hình ảnh sẽ hiển thị, yêu cầu “đăng nhập” để xem video có chứa nội dung giới hạn độ tuổi.
Hình 3: Thông báo yêu cầu đăng nhập nếu truy cập từ thiết bị di động
Nút “ĐĂNG NHẬP” chứa một siêu liên kết đến một trang chứa các bài đánh giá từ tên miền account.gservice[.]reviews. Mục đích chính của chúng là lừa đảo thông tin mật khẩu của người dùng. Cuối cùng, nếu người dùng cố gắng truy cập trang bằng thiết bị không thể xác định qua payload, thì website sẽ hiển thị nội dung không thể phát trên thiết bị này (Hình 4).
Hình 4: Thông báo khi truy cập không phải từ thiết bị Windows, Android và iOS
Tập tin Adobe_Flash_install.rar từ trang web baomoivietnam[.]com chứa các tệp tin Flash_Adobe_Install.exe và goopdate.dll. Trong đó, tập tin goopdate.dll là một tập tin độc hại có chứa thuộc tính ẩn, nên sẽ không hiển thị với cấu hình mặc định của Windows Explorer trên Windows.
Khi chương trình khởi chạy sẽ kết nối đến địa chỉ quản trị tại tên miền summerevent.webhop[.]net để tải về các thành phần khác và nhận lệnh điều khiển. Từ đây OceanLotus sẽ có toàn quyền điều khiển máy của nạn nhân.
OceanLotus đang tiếp tục phát triển các cách thức để nhắm mục tiêu vào các cá nhân bên ngoài hoạt động lừa đảo trực tuyến và tận dụng các trang web bị xâm phạm. Việc tạo và duy trì một số trang web, sẽ nhằm mục đích tăng sự hiện diện trên mạng nhiều hơn và sử dụng chúng để tấn công khách truy cập. Nỗ lực này cho thấy OceanLotus sẽ còn tăng cường mở rộng phạm vi tiếp cận và tìm ra những cách thức mới để tấn công các cá nhân và tổ chức mục tiêu.
Người dùng cần nâng cao cảnh giác với các trang web truy cập, đặc biệt nếu các trang web có liên kết được gửi thông qua dịch vụ e-mail, trò chuyện, nhắn tin hoặc thậm chí là SMS. Hơn nữa, người dùng nên hết sức thận trọng nếu một trang web hiển thị tệp yêu cầu tải xuống hoặc đăng nhập.
Đăng Thứ (Theo Volexity)
10:00 | 13/05/2020
14:00 | 10/12/2020
08:00 | 05/04/2021
10:47 | 17/08/2016
10:00 | 07/04/2023
13:00 | 24/04/2020
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024
