Statlig vietnamesisk hackargrupp använder mining-teknik för att dölja attacker

Författad av: Jinia Shawdagor
december 3, 2020
  • BISMUTH har varit aktiva sedan 2012 och började nyligen använda XMR-miners.
  • Enligt Microsofts hotinformationstjänst anses krypto-miners vanligtvis inte vara allvarliga hot.
  • Att utbilda användare om hur de skyddar sina personuppgifter är ett av sätten att begränsa sådana attacker.

BISMUTH, en statlig vietnamesisk hackergrupp, utnyttjar kryptogrundtekniker för att dölja sina attacker, enligt Microsoft 365 Defender Threat Intelligence-teamet. Teamet presenterade den här nyheten i en rapport den 30 november och noterade att hackargruppen nu släpper krypto-malware vid sidan om sina vanliga verktyg för cyberspionage.

Enligt rapporten har BISMUTH genomfört sofistikerade cyberspionageattacker sedan 2012 och utnyttjar både anpassade verktyg och verktyg med öppen källkod. Gruppen har inriktat sig på stora multinationella företag, statliga finansiella tjänster, utbildningsinstitutioner och medborgerliga organisationer. BISMUTHs senaste attacker har dock tagit en ny form, enligt Microsofts hotinformationsteam. Teamet belyste till exempel gruppens attacker från juli till augusti 2020 och noterade att gruppen lanserade monero-miners (XMR) riktade mot både privata och statliga institutioner i Frankrike och Vietnam.

Vill du ha de senaste nyheterna, heta tips och marknadsanalyser? Prenumerera på Invezz nyhetsbrev idag.

Microsoft 365 Defender Threat Intelligence-teamet förklarade hur BISMUTH lyckats genomföra attackerna:

Miners av kryptovaluta är vanligtvis associerade med cyberkriminella operationer, inte sofistikerad verksamhet bland statliga aktörer. Det är inte den mest sofistikerade typen av hot, vilket också innebär att det inte hör till de mest kritiska säkerhetsfrågorna som försvarare tar itu med.”

Därför utnyttjar gruppen lågprioritetsvarningar från krypto-miners för att försöka fastställa dess uthållighet medan de flyger under radarn.

Smälter in för att vinna målens förtroende

Enligt Microsoft 365 Defender Threat Intelligence-teamet förblev BISMUTHs operativa mål att upprätta kontinuerlig övervakning och extrahera användbara data. Användningen av XMR-miners öppnade dock för andra angripare att tjäna pengar på komprometterade nätverk. Teamet medgav att användningen av krypto-miners var oväntad, men stämmer övers med gruppens metod att smälta in.

Hotinformationsteamet konstaterade att:

Detta mönster av att smälta in är särskilt tydligt i de senaste attackerna, redan från det inledande åtkomststadiet: spear-fishing-e-postmeddelanden som specialdesignats för en specifik mottagare per målorganisation som visade tecken på tidigare rekognosering. I vissa fall korresponderade även gruppen med målen och ökade förtroendet ytterligare för att övertyga målen om att öppna den skadliga bilagan och starta infektionskedjan.”

Enligt rapporten låter användningen av krypto-miners BISMUTH dölja mer skadliga aktiviteter bakom hoten som många system uppfattade som vanlig malware. Publikationen rekommenderade vidare att nätverksoperatörer bör vara snabba att hantera malware-infektioner, eftersom de kan indikera att mer sofistikerade attacker väntar.

Tips: letar du efter en app för att investera smartare? Handla säkert genom att registrera dig med vårt föredragna val, eToro: besök & skapa konto

Effektiva medel för att begränsa attackerna

I rapporten beskrivs några av de sätt som organisationer kan skydda mot sådana attacker och noterade att nätverk bör utbilda sina slutanvändare om att skydda sin personliga och affärsinformation på sociala medier. Rapporten rekommenderade också att användare ska konfigurera inställningar för e-postfiltrering i Office 365, aktivera funktioner för att minska attackytan, avaktivera makron eller endast tillåta makron från kända källor och kontrollera perimeterinställningarna för brandvägg och proxy för att begränsa servrarna från att göra godtyckliga anslutningar till internet.

Utöver detta föreslog publikationen att användare bör använda starka och slumpmässiga administratörslösenord, använda multifaktorautentisering och undvika användning av domänomfattande servicekonton på administratörsnivå.