BISMUTH gebruikt mijntechnieken om verborgen te blijven

Geschreven door: Jinia Shawdagor
december 2, 2020
  • BISMUTH is operationeel sinds 2012, maar gebruikt pas sindskort XMR-mijnwerkers.
  • Volgens Microsoft worden cryptomijnwerkers niet als ernstige bedreigingen beschouwd.
  • Gebruikers voorlichten is een van de manieren om aanvallen te beteugelen.

BISMUTH, een hackersgroep, maakt gebruik van crypto mining technieken om zijn aanvallen te verhullen, aldus de Microsoft 365 Defender Threat Intelligence team. Het team maakte dit nieuws bekend door middel van een rapport op 30 november en merkte op dat de hackergroep nu cryptomining-malware vrijgeeft naast zijn reguliere cyberspionagetoolkits.

Volgens het rapport voert BISMUTH sinds 2012 geavanceerde cyberspionage-aanvallen uit, gebruikmakend van zowel aangepaste als open-source tools. De groep heeft zich naar verluidt gericht op grote multinationale ondernemingen, financiële diensten van overheden, onderwijsinstellingen en mensenrechten- en burgerrechtenorganisaties. Volgens het Threat Intelligence-team van Microsoft hebben de meest recente aanvallen van BISMUTH echter een nieuwe vorm aangenomen. Het team benadrukte bijvoorbeeld de aanslagen van de groep van juli tot augustus 2020 en merkte op dat de groep Monero (XMR) mijnwerkers lanceerde, gericht op zowel particuliere als overheidsinstellingen in Frankrijk en Vietnam.

Zoekt u actueel nieuws, goede tips en markt analyses? Schrijf u vandaag in voor de Invezz nieuwsbrief.

Uitleggend hoe BISMUTH erin slaagde deze aanvallen uit te voeren, zei het Microsoft 365 Defender Threat Intelligence-team:

“Mijnwerkers van cryptovaluta worden meestal geassocieerd met cybercriminele operaties, niet met geavanceerde activiteiten van nationale spelers. Ze zijn niet het meest geavanceerde type bedreigingen, wat ook betekent dat ze niet tot de meest kritieke beveiligingsproblemen behoren die verdedigers met urgentie aanpakken.”

Als zodanig maakte de groep gebruik van de waarschuwingen met lage prioriteit van cryptomijnwerkers om te proberen de persistentie ervan vast te stellen terwijl ze onder de radar vlogen.

Invloeien om vertrouwen te creëren met doelen

Volgens het Microsoft 365 Defender Threat Intelligence-team bleef het operationele doel van BISMUTH om continue monitoring vast te stellen en bruikbare gegevens te extraheren wanneer deze aan de oppervlakte komen. Het gebruik van XMR mijnwerkers opende echter een gateway voor andere aanvallers om geld te verdienen met gecompromitteerde netwerken. Het team gaf toe dat het gebruik van cryptomijnwerkers onverwacht was. Desalniettemin voegde het team er snel aan toe dat de verhuizing in overeenstemming was met de methode van de groep om in te mengen.

Het Threat Intelligence-team merkte op dat,

“Dit patroon van inmengen is vooral duidelijk bij deze recente aanvallen, beginnend vanaf de eerste toegangsfase: spear-phishing e-mails die speciaal zijn gemaakt voor één specifieke ontvanger per doelorganisatie en tekenen van eerdere verkenning vertoonden. In sommige gevallen kwam de groep zelfs overeen met de doelwitten, waardoor er nog meer geloofwaardigheid werd opgebouwd om doelwitten te overtuigen de kwaadaardige bijlage te openen en de virus keten te starten.”

Volgens het rapport stelde het gebruik van cryptomijnwerkers BISMUTH in staat om meer schadelijke activiteiten te verbergen achter bedreigingen die veel systemen doorgaven als commodity-malware. De publicatie adviseerde vervolgens dat netwerkoperators, wanneer ze te maken hebben met commodity banking-trojanen die door mensen bediende ransomware binnenbrengen, malware-infecties met urgentie moeten behandelen, omdat ze het begin van meer geavanceerde aanvallen kunnen aangeven.

Tip: bent u op zoek naar een app om slim te investeren? Handel veilig door u te registreren bij onze favoriete keuze, eToro: bezoek & maak een account

Effectieve middelen om dergelijke aanvallen te beteugelen

Het rapport schetste een aantal manieren waarop organisaties veerkracht kunnen opbouwen tegen dergelijke aanvallen en merkte op dat netwerken hun eindgebruikers moeten leren hoe ze hun persoonlijke en zakelijke informatie op sociale media kunnen beschermen. Het rapport raadde gebruikers ook aan om Office 365-instellingen voor e-mailfiltering te configureren, regels voor oppervlaktereductie in te schakelen, macro’s niet toe te staan of alleen macro’s van bekende locaties toe te staan, en de instellingen van de perimeterfirewall en proxy te controleren om te voorkomen dat servers willekeurige verbindingen met internet maken.

Bovendien suggereerde de publicatie dat gebruikers sterke, gerandomiseerde beheerderswachtwoorden moesten gebruken, multi-factor authenticatie moesten instellen en het gebruik van domeinbrede serviceaccounts op beheerdersniveau moesten vermijden.