Phát hiện nhóm hacker Việt chuyên đánh cắp thẻ tín dụng trong 8 năm qua

Các nhà nghiên cứu bảo mật vừa phát hiện ra một nhóm hacker chưa rõ danh tính của Việt Nam với danh xưng là XE Group. Nhóm này có liên quan tới những hoạt động hack và đánh cắp thông tin thẻ tín dụng (skimming) để trục lợi bất chính trong 8 năm qua.

Kết quả điều tra cho thấy XE Group khai thác các lỗ hổng được công khai để xâm phạm vào các dịch vụ bên ngoài, nổi bật là lỗi giao diện người dùng Telerik. Từ đó, chúng cài đặt mã độc để đánh cắp thông tin xác thực và thông tin thanh toán của người dùng.

Tính trung bình, mỗi ngày XE Group có thể đánh cắp hàng nghìn thẻ tín dụng chủ yếu từ các nhà hàng, tổ chức phi lợi nhuận, tổ chức nghệ thuật và nền tảng cung cấp dịch vụ du lịch.

Năm 2020, Malwarebytes đã có báo cáo đầu tiên về hoạt động của XE Group. Gần đây, hãng bảo mật Volexity tiếp tục công bố những phân tích sâu hơn về nhóm hacker này.

Cụ thể, Volexity đã lập được bản đồ cơ sở hạ tầng được sử dụng bởi XE Group trong ba năm qua và chia sẻ tất cả các chi tiết kỹ thuật cũng như IOCs trên GitHub. Các nhà nghiên cứu nhận ra rằng nhiều trang web bị XE Group tấn công bởi cùng một kỹ thuật có liên quan tới việc tải các đoạn mã độc JavaScript.

Loại tấn công này được gọi là Megacart và hacker thường thêm mã độc JavaScript vào các trang thương mại điện tử để thu thập thông tin khách hàng và thông tin thanh toán khi những dữ liệu này được gửi. Dữ liệu bị đánh cắp sẽ được gửi tới một máy chủ từ xa được kiểm soát bởi XE Group.

Thời gian tồn tại của các cuộc tấn công phụ thuộc vào việc mã độc có thể lẩn tránh tốt như thế nào trên các trang web trước sự truy quét của các sản phẩm bảo mật.

Theo kiểm tra, mã độc của XE Group đạt điểm số hoàn hảo 0/57 trên VirusTotal. Điều này có nghĩa là nó hoàn toàn không bị các phần mềm diệt virus phát hiện ra.

So với báo cáo năm 2020 của Malwarebytes, báo cáo của Volexity cho thấy mã độc của XE Group đã có sự tiến hóa. Nhiều cải tiến tinh tế đã được thêm vào nhằm tăng khả năng lẩn tránh cũng như khả năng khai thác dữ liệu.

Volexity cho biết XE Group được điều hành bởi hacker Việt Nam vì một số tên miền được sử dụng cho máy chủ điều khiển và chỉ huy (command and control servers) được đăng ký dưới tên một người ở Việt Nam.

Phát hiện nhóm hacker Việt chuyên đánh cắp thẻ tín dụng trong 8 năm qua

Mặc dù thông tin đăng ký tên miền để làm giả nhưng các nhà nghiên cứu đã liên kết người đăng ký, Joe Nguyễn, với repository được tạo bởi người dùng cùng tên với hình đại diện XE.

Ngoài ra, nickname "xethanh" được liên kết với repo GitHub cũng được dùng để đăng ký tài khoản trên diễn đàn crdclub[.]su, nơi nhóm hacker cung cấp thông tin thẻ tín dụng mà chúng đánh cắp được.

Những nghiên cứu sâu hơn đã tìm ra các tài khoản tương tự trên những diễn đàn chuyên về thẻ tín dụng khác như cybercarders[.]su và cardingforum[.]su. Điều này cho thấy nhóm hacker XE Group thích bán thông tin thẻ hơn là tự khai thác.

Theo Volexity, các tài khoản liên quan tới Joe Nguyễn có lịch sử hoạt động từ năm 2013. Vì thế, nhiều khả năng nhóm XE Group đã hoạt động hack và đánh cắp thông tin thẻ tín dụng trong tối đa 8 năm mà chỉ có một báo cáo liên quan tới chúng.

Bên cạnh báo cáo chi tiết, Volexity cũng đưa ra các chỉ báo mạng và dấu hiệu để quản trị viên có thể chặn các cuộc tấn công của XE Group. Bạn có thể tham khảo  bằng cách nhấn vào những đường link bên dưới:

Chúc các bạn luôn có giải pháp an toàn cho hệ thống của mình!

Thứ Năm, 09/12/2021 11:58
4,45 👨 2.339
0 Bình luận
Sắp xếp theo
    ❖ Chuyện công nghệ