Theo một nghiên cứu mới, một diễn viên quốc gia nổi tiếng với các chiến dịch gián điệp mạng từ năm 2012 hiện đang sử dụng các kỹ thuật khai thác tiền xu để nằm trong tầm ngắm và thiết lập sự bền bỉ trên các hệ thống của nạn nhân, theo một nghiên cứu mới.
Ghi nhận sự thay đổi đối với một tác nhân đe dọa được theo dõi là Bismuth, Nhóm tình báo đe dọa Microsoft 365 Defender của Microsoft cho biết nhóm đã triển khai các công cụ khai thác tiền Monero trong các cuộc tấn công nhằm vào cả khu vực tư nhân và các tổ chức chính phủ ở Pháp và Việt Nam từ tháng 7 đến tháng 8 đầu năm nay.
Các nhà nghiên cứu cho biết: “Các công ty khai thác tiền xu cũng cho phép Bismuth che giấu các hoạt động bất chính của mình đằng sau các mối đe dọa có thể được coi là ít đáng báo động hơn vì chúng là phần mềm độc hại ‘hàng hóa'” nói trong một phân tích được công bố ngày hôm qua.
Các nạn nhân chính của vụ tấn công được xác định là các doanh nghiệp nhà nước ở Việt Nam và các tổ chức có quan hệ với cơ quan chính phủ Việt Nam.
Nhà sản xuất Windows đã ví Bismuth với OceanLotus (hoặc APT32), liên kết nó với các cuộc tấn công phần mềm gián điệp bằng cách sử dụng cả bộ công cụ tùy chỉnh và mã nguồn mở để nhắm mục tiêu vào các tập đoàn đa quốc gia lớn, chính phủ, dịch vụ tài chính, tổ chức giáo dục và các tổ chức nhân quyền và dân quyền.
Sự phát triển diễn ra khi OceanLotus được phát hiện sử dụng cửa sau macOS mới cho phép những kẻ tấn công rình mò và đánh cắp thông tin bí mật và tài liệu kinh doanh nhạy cảm từ các máy bị nhiễm.
Sử dụng công cụ khai thác tiền xu để trộn
Mặc dù các chiến thuật gián điệp và xâm nhập của nhóm về cơ bản vẫn giữ nguyên, việc đưa các công cụ khai thác tiền xu vào kho vũ khí của họ chỉ ra một cách mới để kiếm tiền từ các mạng bị xâm phạm, chưa kể đến một phương tiện xảo quyệt để trà trộn và trốn tránh bị phát hiện càng lâu càng tốt.
Ý tưởng là câu giờ để di chuyển theo chiều ngang và lây nhiễm các mục tiêu có giá trị cao như máy chủ để lan truyền sâu hơn.
Để đạt được điều này, các email lừa đảo có nội dung phù hợp được viết bằng tiếng Việt đã được tạo ra cho những người nhận cụ thể trong một tổ chức mục tiêu và trong một số trường hợp, kẻ đe dọa thậm chí còn thiết lập thư từ với các mục tiêu nhằm tăng cơ hội mở tài liệu độc hại được nhúng trong các email và kích hoạt chuỗi lây nhiễm.
Một kỹ thuật riêng biệt liên quan đến việc sử dụng Tải bên DLL, trong đó một thư viện hợp pháp được thay thế bằng một biến thể độc hại, sử dụng các phiên bản lỗi thời của phần mềm hợp pháp như Microsoft Defender Antivirus, Sysinternals DebugView và Microsoft Word 2007 để tải các tệp DLL giả mạo và thiết lập kênh điều khiển và kiểm soát (C2) liên tục để thiết bị bị xâm phạm và mạng.
Sau đó, kênh mới thành lập được sử dụng để giảm một số trọng tải ở giai đoạn tiếp theo, bao gồm các công cụ để quét mạng, đánh cắp thông tin xác thực, khai thác tiền Monero và tiến hành do thám, kết quả được truyền trở lại máy chủ dưới dạng ” .csv “.
Ẩn dấu trong một dấu hiệu rõ ràng
“Các cuộc tấn công Bismuth nhấn mạnh vào việc ẩn nấp trong tầm nhìn rõ ràng bằng cách hòa nhập với hoạt động mạng bình thường hoặc các mối đe dọa phổ biến mà những kẻ tấn công dự đoán sẽ nhận được sự chú ý ở mức độ ưu tiên thấp”, Microsoft cho biết.
“Sự kết hợp giữa kỹ thuật xã hội và việc sử dụng các ứng dụng hợp pháp để tải các tệp DLL độc hại đòi hỏi nhiều lớp bảo vệ tập trung vào việc ngăn chặn các mối đe dọa ở giai đoạn sớm nhất có thể và giảm thiểu sự tiến triển của các cuộc tấn công nếu chúng vượt qua được.”
Các doanh nghiệp nên hạn chế bề mặt tấn công được sử dụng để giành quyền truy cập ban đầu bằng cách tăng cường cài đặt tường lửa và lọc email, thực thi vệ sinh thông tin xác thực và bật xác thực đa yếu tố.
