Tin tặc Việt Nam nhắm mục tiêu quốc tế bằng mã độc DarkGate

Các cuộc tấn công sử dụng mã độc DarkGate và Ducktail nhắm vào nạn nhân ở Anh, Mỹ, Ấn Độ được xác định có liên quan đến tin tặc Việt Nam do có các yếu tố tương đồng.

“Những kẻ tấn công có thể sở hữu và sử dụng nhiều công cụ khác nhau cho cùng một mục đích và tất cả những gì chúng phải làm là tìm mục tiêu, lên chiến dịch và tạo mồi nhử.” WithSecure cho biết trong một báo cáo được công bố ngày hôm nay.

Sự phát triển này diễn ra trong bối cảnh các chiến dịch phát tán mã độc sử dụng DarkGate gia tăng trong những tháng gần đây, chủ yếu do tác giả quyết định cho những kẻ tấn công thuê mã độc dưới dạng dịch vụ (MaaS), sau một thời gian sử dụng nó một cách riêng tư kể từ năm 2018.

Không chỉ DarkGate và Ducktail, nhóm tin tặc người Việt đứng sau các chiến dịch này đang tận dụng nhiều thủ đoạn để phát tán LOBSHOT và RedLine Stealer.

Chuỗi tấn công phát tán DarkGate thường có đặc điểm là sử dụng các AutoIt script được truy xuất thông qua Visual Basic Script được gửi qua email hoặc tin nhắn lừa đảo trên Skype hoặc Microsoft Teams. Việc thực thi các AutoIt script dẫn đến việc triển khai DarkGate.

Tuy nhiên, trong trường hợp này, nhóm tin tặc đánh lừa nạn nhân bằng một tin nhắn LinkedIn chuyển đến một tệp được lưu trữ trên Google Drive, một kỹ thuật thường được các tin tặc phát tán Ducktail sử dụng.

WithSecure cho biết: “Các thủ đoạn được sử dụng để phân phối Ducktail và DarkGate rất giống nhau. Trong đó DarkGate đã xuất hiện từ lâu và được nhiều nhóm sử dụng cho các mục đích khác nhau chứ không chỉ riêng nhóm tin tặc đến từ Việt Nam” mặc dù chức năng của giai đoạn cuối có khác biệt rất lớn.

Trong khi Ducktail hoạt động như một stealer, DarkGate là một dạng RAT (remote access trojan) với khả năng đánh cắp thông tin cũng như thiết lập sự tồn tại bí mật trên các máy chủ bị xâm nhập để truy cập cửa sau.