Statlig vietnamesisk hackargrupp använder mining-teknik för att dölja attacker

BISMUTH, en statlig vietnamesisk hackergrupp, utnyttjar kryptogrundtekniker för att dölja sina attacker, enligt Microsoft 365 Defender Threat Intelligence-teamet. Teamet presenterade den här nyheten i en rapport den 30 november och noterade att hackargruppen nu släpper krypto-malware vid sidan om sina vanliga verktyg för cyberspionage.

Enligt rapporten har BISMUTH genomfört sofistikerade cyberspionageattacker sedan 2012 och utnyttjar både anpassade verktyg och verktyg med öppen källkod. Gruppen har inriktat sig på stora multinationella företag, statliga finansiella tjänster, utbildningsinstitutioner och medborgerliga organisationer. BISMUTHs senaste attacker har dock tagit en ny form, enligt Microsofts hotinformationsteam. Teamet belyste till exempel gruppens attacker från juli till augusti 2020 och noterade att gruppen lanserade monero-miners (XMR) riktade mot både privata och statliga institutioner i Frankrike och Vietnam.

Microsoft 365 Defender Threat Intelligence-teamet förklarade hur BISMUTH lyckats genomföra attackerna:

Därför utnyttjar gruppen lågprioritetsvarningar från krypto-miners för att försöka fastställa dess uthållighet medan de flyger under radarn.

Smälter in för att vinna målens förtroende

Enligt Microsoft 365 Defender Threat Intelligence-teamet förblev BISMUTHs operativa mål att upprätta kontinuerlig övervakning och extrahera användbara data. Användningen av XMR-miners öppnade dock för andra angripare att tjäna pengar på komprometterade nätverk. Teamet medgav att användningen av krypto-miners var oväntad, men stämmer övers med gruppens metod att smälta in.

Hotinformationsteamet konstaterade att:

Enligt rapporten låter användningen av krypto-miners BISMUTH dölja mer skadliga aktiviteter bakom hoten som många system uppfattade som vanlig malware. Publikationen rekommenderade vidare att nätverksoperatörer bör vara snabba att hantera malware-infektioner, eftersom de kan indikera att mer sofistikerade attacker väntar.

Effektiva medel för att begränsa attackerna

I rapporten beskrivs några av de sätt som organisationer kan skydda mot sådana attacker och noterade att nätverk bör utbilda sina slutanvändare om att skydda sin personliga och affärsinformation på sociala medier. Rapporten rekommenderade också att användare ska konfigurera inställningar för e-postfiltrering i Office 365, aktivera funktioner för att minska attackytan, avaktivera makron eller endast tillåta makron från kända källor och kontrollera perimeterinställningarna för brandvägg och proxy för att begränsa servrarna från att göra godtyckliga anslutningar till internet.

Utöver detta föreslog publikationen att användare bör använda starka och slumpmässiga administratörslösenord, använda multifaktorautentisering och undvika användning av domänomfattande servicekonton på administratörsnivå.