根據(jù)一項(xiàng)新的研究，自2012年以來，以網(wǎng)絡(luò)間諜活動(dòng)而聞名的國家性質(zhì)的黑客，正在使用挖礦技術(shù)來躲避檢測(cè)，并在受害者系統(tǒng)上建立持久性。

微軟的365 Defender威脅情報(bào)團(tuán)隊(duì)稱，今年7月至8月期間，該組織部署了Monero硬幣礦工，對(duì)法國和越南的私營部門和政府機(jī)構(gòu)進(jìn)行攻擊。

研究人員在昨天發(fā)表的一份分析報(bào)告中表示：“這些硬幣礦工的背后或許隱藏著更邪惡的活動(dòng)。”

此次攻擊的主要受害者是越南的國有企業(yè)以及與越南政府機(jī)構(gòu)有關(guān)聯(lián)的實(shí)體。

微軟把Bismuth比作“OceanLotus”（或APT32），將其與間諜軟件攻擊聯(lián)系在一起，這些間諜軟件使用定制和開源工具集攻擊大型跨國公司、政府、金融服務(wù)、教育機(jī)構(gòu)、人權(quán)和民權(quán)組織等。

此前，OceanLotus利用了macOS的一個(gè)新后門，攻擊者能夠窺探并竊取受感染機(jī)器的機(jī)密信息和敏感商業(yè)文件。

使用硬幣礦工進(jìn)行混入

盡管該組織的滲透策略和間諜活動(dòng)基本上沒有什么變化，但“硬幣礦工”為他們提供了一種新的盈利方式。

這個(gè)想法是為了爭(zhēng)取時(shí)間進(jìn)行橫向移動(dòng)，感染像服務(wù)器這樣的高價(jià)值目標(biāo)，以便進(jìn)一步傳播。

為了實(shí)現(xiàn)這一點(diǎn)，攻擊者針對(duì)受害者使用了特制的越南語編寫的魚叉式網(wǎng)絡(luò)釣魚郵件。在某些情況下，攻擊者甚至與目標(biāo)建立通信，以增加打開電子郵件中嵌入的惡意文檔并觸發(fā)感染鏈的機(jī)會(huì)。

另一種技術(shù)涉及使用DLL側(cè)加載，其中合法庫被惡意變體替換，利用過期版本的合法軟件（如Microsoft Defender Antivirus、Sysinternals DebugView和Microsoft Word 2007）加載惡意DLL文件，并在受損設(shè)備和網(wǎng)絡(luò)上建立一個(gè)持久的命令和控制（C2）通道。

新建立的通道隨后被用來丟棄一些下一階段的有效負(fù)載，包括用于網(wǎng)絡(luò)掃描、憑證盜竊、Monero硬幣挖掘和執(zhí)行偵察的工具，其結(jié)果以“.csv”文件的形式傳回服務(wù)器。

躲避策略

微軟表示：“攻擊者通過與正常的網(wǎng)絡(luò)活動(dòng)或預(yù)期會(huì)得到低關(guān)注的常見威脅混合在一起來躲避檢測(cè)?！?/p>

建議企業(yè)通過加強(qiáng)電子郵件過濾和防火墻設(shè)置，加強(qiáng)憑證保護(hù)，啟用多因素身份驗(yàn)證來限制用于獲得初始訪問權(quán)限的攻擊面。

消息及封面來源：The Hacker News?；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/