Một cuộc điều tra an ninh mạng quy mô lớn đã phơi bày một chiến dịch tội phạm tinh vi mang tên chiến dịch Vault Viper. Chiến dịch này chuyên khai thác các nền tảng cờ bạc trực tuyến để phân phối một trình duyệt tùy chỉnh độc hại với khả năng truy cập từ xa.

Các đối tượng đe dọa, được liên kết với Baoying Group và có quan hệ với Suncity Group – một tổ chức tội phạm lớn ở châu Á – đã xây dựng một cơ sở hạ tầng chưa từng có. Cơ sở hạ tầng này kết hợp việc phân phối phần mềm iGaming với việc triển khai mã độc tiên tiến.

Các nhà nghiên cứu bảo mật từ Infoblox Threat Intel, phối hợp với Văn phòng Liên Hợp Quốc về Ma túy và Tội phạm Khu vực Đông Nam Á và Thái Bình Dương, đã khám phá chiến dịch này. Cuộc điều tra tiết lộ rằng hoạt động của Vault Viper có khả năng đã lây nhiễm hàng triệu thiết bị trên toàn thế giới, tạo ra một mối đe dọa mạng đáng lo ngại. (Nguồn Infoblox)

Universe Browser: Cánh cổng phân phối mã độc

Universe Browser được quảng bá một cách lừa dối như một công cụ thân thiện với quyền riêng tư, giúp người dùng bỏ qua các hạn chế kiểm duyệt ở những quốc gia cấm cờ bạc trực tuyến. Tuy nhiên, trình duyệt này lại đóng vai trò là phương tiện phân phối chính cho payload độc hại của Vault Viper.

Cơ chế hoạt động và khả năng độc hại

Phân tích chuyên sâu cho thấy trình duyệt chứa nhiều chương trình ẩn, hoạt động âm thầm trong nền. Các chương trình này bao gồm:

• Chức năng keylogging: Ghi lại mọi thao tác gõ phím của người dùng.
• Kết nối mạng trái phép: Thiết lập các kênh liên lạc bí mật với máy chủ điều khiển của kẻ tấn công.
• Thay đổi cấu hình thiết bị ngầm: Thực hiện các chỉnh sửa hệ thống mà không có sự cho phép của người dùng.

Những khả năng này hoàn toàn phù hợp với các đặc tính của trojan truy cập từ xa (RAT) và các phần mềm độc hại phức tạp khác. Mục đích thực sự của trình duyệt là cho phép giám sát liên tục, đánh cắp thông tin đăng nhập và kiếm tiền trên quy mô lớn cho các đối tượng tội phạm trong chiến dịch Vault Viper.

Liên kết với tội phạm có tổ chức và iGaming

Cuộc điều tra đã theo dõi hoạt động của Vault Viper trở lại Baoying Group, một tổ chức hoạt động thông qua BBIN. BBIN là một trong những nhà cung cấp phần mềm iGaming hàng đầu châu Á, thường được gọi là “white labels”.

Hạ tầng DNS và dấu vân tay số

Tổ chức này không chỉ cung cấp dịch vụ cho các nền tảng cờ bạc trực tuyến bất hợp pháp mà còn phân phối Universe Browser độc hại cho những người dùng không hề hay biết. Bất chấp các cấu hình và chiến thuật đa dạng, các nhà nghiên cứu đã phát hiện một “dấu vân tay” DNS riêng biệt cho Vault Viper.

Phát hiện này giúp việc theo dõi, lập bản đồ và gán quyền sở hữu các hoạt động trở nên khả thi, củng cố thêm bằng chứng về chiến dịch Vault Viper.

Mối quan hệ với các băng nhóm tội phạm

Nghiên cứu cũng tiết lộ mối liên hệ sâu sắc giữa chiến dịch Vault Viper với Alvin Chau, trùm Triad đã bị kết án, và Suncity Group. Điều này cho thấy Vault Viper đóng vai trò là một yếu tố then chốt, tạo điều kiện cho tội phạm có tổ chức xuyên quốc gia ở Đông Nam Á.

Chiến dịch Vault Viper không chỉ là một chiến dịch phân phối mã độc đơn giản. Các nhà nghiên cứu đã phát hiện ra rằng trình duyệt tùy chỉnh, cơ sở hạ tầng DNS và các dịch vụ tích hợp của nó hoạt động như một khuôn khổ khai thác toàn diện, được thiết kế để duy trì quyền truy cập và giám sát liên tục.

Các công cụ độc quyền của Vault Viper

Cơ sở hạ tầng này bao gồm các ứng dụng độc quyền như “Screenshot” và “lineSelector“. Đây là những công cụ đặc trưng riêng của Vault Viper và không được cung cấp trên cửa hàng Chrome chính thức.

Hạ tầng bao gồm hàng chục nghìn tên miền liên quan, nhiều tên miền trong số đó vẫn đang được các mạng lưới tội phạm sử dụng tích cực. Điều này tạo ra một mạng lưới rộng lớn và phức tạp của các hệ thống command-and-control (C2), được che giấu thông qua các công ty đăng ký ở hàng chục quốc gia.

IOCs liên quan đến cơ sở hạ tầng DNS

Mặc dù không có danh sách cụ thể các tên miền hay địa chỉ IP được công bố, các nhà nghiên cứu đã xác định được các loại chỉ số xâm nhập (IOC) sau:

• Dấu vân tay DNS (DNS Fingerprint): Một đặc điểm cấu trúc DNS riêng biệt, giúp nhận diện và truy vết các máy chủ và dịch vụ của chiến dịch Vault Viper.
• Tên miền liên quan (Associated Domains): Hàng chục nghìn tên miền đã được đăng ký và sử dụng để hỗ trợ các hoạt động độc hại, bao gồm phân phối mã độc và máy chủ C2.
• Hệ thống Command-and-Control (C2): Nhiều địa chỉ và cơ chế giao tiếp được ngụy trang, dùng để điều khiển các thiết bị bị lây nhiễm.

Mối đe dọa mạng ở Đông Nam Á và ảnh hưởng

Phát hiện này nhấn mạnh một xu hướng đáng báo động trong bối cảnh mối đe dọa mạng ở Đông Nam Á. Các tổ chức tội phạm đã chuyển từ các hoạt động cờ bạc trực tuyến truyền thống sang các doanh nghiệp tội phạm mạng tinh vi.

Các mạng lưới này tạo ra hàng chục tỷ đô la hàng năm thông qua sự kết hợp của các trung tâm lừa đảo quy mô công nghiệp, các hoạt động gian lận dựa trên công nghệ mạng và các chương trình rửa tiền. Ví dụ, UBService là một ứng dụng QT5 khác chứa nhiều tài nguyên nhúng, đặc biệt là một bảng SQLITE3 lớn chứa các bản ghi được mã hóa.

Chuyên môn kỹ thuật và khả năng phục hồi hoạt động ngày càng tăng của các nhóm này đã biến chúng thành một trong những mối đe dọa mạng bị đánh giá thấp nhất mà cộng đồng quốc tế phải đối mặt.

Tầm quan trọng của an ninh mạng và hợp tác quốc tế

Các nền tảng cờ bạc trực tuyến đã trở thành mặt trận chính cho các hoạt động tội phạm này, đóng vai trò là phương tiện lý tưởng để che giấu các hoạt động tội phạm mạng đa dạng, rửa tiền và mạng lưới buôn người.

Trường hợp Vault Viper cho thấy các nhà cung cấp iGaming không được kiểm soát đã bị khai thác như các kênh phân phối mã độc tiên tiến như thế nào. Universe Browser trở thành công cụ hoàn hảo để xác định những người chơi giàu có và giành quyền truy cập trái phép vào máy tính của họ.

Các nhà nghiên cứu nhấn mạnh rằng cuộc điều tra này có phạm vi chưa từng có. Việc BBIN phân phối phần mềm rủi ro đánh dấu một sự leo thang đáng kể trong mức độ tinh vi của tội phạm. Trường hợp này nhấn mạnh sự cần thiết cấp bách phải nâng cao nhận thức, xây dựng khuôn khổ pháp lý và tăng cường hợp tác quốc tế để giải quyết các mối đe dọa mạng phức tạp và đang phát triển từ các mạng lưới tội phạm ở Đông Nam Á, nhằm đảm bảo an ninh mạng toàn cầu.