聲明：該文章由作者（婭米）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

根據(jù)一項新的研究，自2012年以來，以網(wǎng)絡(luò)間諜活動而聞名的國家性質(zhì)的黑客，正在使用挖礦技術(shù)來躲避檢測，并在受害者系統(tǒng)上建立持久性。

微軟的365 Defender威脅情報團隊稱，今年7月至8月期間，該組織部署了Monero硬幣礦工，對法國和越南的私營部門和政府機構(gòu)進行攻擊。

研究人員在昨天發(fā)表的一份分析報告中表示：“這些硬幣礦工的背后或許隱藏著更邪惡的活動?！?/p>

此次攻擊的主要受害者是越南的國有企業(yè)以及與越南政府機構(gòu)有關(guān)聯(lián)的實體。

微軟把Bismuth比作“OceanLotus”（或APT32），將其與間諜軟件攻擊聯(lián)系在一起，這些間諜軟件使用定制和開源工具集攻擊大型跨國公司、政府、金融服務(wù)、教育機構(gòu)、人權(quán)和民權(quán)組織等。

此前，OceanLotus利用了macOS的一個新后門，攻擊者能夠窺探并竊取受感染機器的機密信息和敏感商業(yè)文件。

使用硬幣礦工進行混入

盡管該組織的滲透策略和間諜活動基本上沒有什么變化，但“硬幣礦工”為他們提供了一種新的盈利方式。

這個想法是為了爭取時間進行橫向移動，感染像服務(wù)器這樣的高價值目標(biāo)，以便進一步傳播。

為了實現(xiàn)這一點，攻擊者針對受害者使用了特制的越南語編寫的魚叉式網(wǎng)絡(luò)釣魚郵件。在某些情況下，攻擊者甚至與目標(biāo)建立通信，以增加打開電子郵件中嵌入的惡意文檔并觸發(fā)感染鏈的機會。

另一種技術(shù)涉及使用DLL側(cè)加載，其中合法庫被惡意變體替換，利用過期版本的合法軟件（如Microsoft Defender Antivirus、Sysinternals DebugView和Microsoft Word 2007）加載惡意DLL文件，并在受損設(shè)備和網(wǎng)絡(luò)上建立一個持久的命令和控制（C2）通道。

新建立的通道隨后被用來丟棄一些下一階段的有效負載，包括用于網(wǎng)絡(luò)掃描、憑證盜竊、Monero硬幣挖掘和執(zhí)行偵察的工具，其結(jié)果以“.csv”文件的形式傳回服務(wù)器。

躲避策略

微軟表示：“攻擊者通過與正常的網(wǎng)絡(luò)活動或預(yù)期會得到低關(guān)注的常見威脅混合在一起來躲避檢測?！?/p>

建議企業(yè)通過加強電子郵件過濾和防火墻設(shè)置，加強憑證保護，啟用多因素身份驗證來限制用于獲得初始訪問權(quán)限的攻擊面。

消息及封面來源：The Hacker News?；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/