早在2018 年，由于加密貨幣挖礦的攻擊性低以及隱秘性特點(diǎn)，其迅速成為網(wǎng)絡(luò)罪犯首選的攻擊載體和偽裝手段。

近日一個(gè)名為Bismuth的高級(jí)威脅組織最近使用加密貨幣挖掘作為隱藏其活動(dòng)的手段并避免觸發(fā)高優(yōu)先級(jí)警報(bào)的方法。

加密貨幣挖掘通常被認(rèn)為是一種不怎么具有安全隱患的安全問題，因此該方法允許攻擊者建立持久性攻擊并在受到攻擊的網(wǎng)絡(luò)上橫向移動(dòng)，同時(shí)從攻擊中獲利。

[[389525]]

加密貨幣挖掘發(fā)起攻擊的誘餌

Bismuth經(jīng)常以人權(quán)和民權(quán)組織為目標(biāo)，但它的受害者名單其實(shí)包括跨國公司、金融服務(wù)、教育機(jī)構(gòu)和政府部門的對(duì)象。

自2012年以來，Bismuth就一直在從事網(wǎng)絡(luò)間諜活動(dòng)。此后，攻擊者將自定義工具與免費(fèi)工具相結(jié)合，攻擊的復(fù)雜性也隨之增加。

不過，在最近的攻擊活動(dòng)中，Bismuth在法國和越南的私人和政府組織的受感染系統(tǒng)上啟動(dòng)了門羅幣采礦活動(dòng)。

微軟早在7月和8月就檢測(cè)到了發(fā)生的攻擊，稱加密貨幣挖掘活動(dòng)并沒有改變攻擊者的目標(biāo)，而是繼續(xù)監(jiān)控和竊取感興趣的信息。微軟的研究人員表示BISMUTH使用加密貨幣挖掘活動(dòng)的方式來掩蓋自己的攻擊雖然出乎意料，但這與該組織長期使用的混合方法是一致的。

黑客在發(fā)送針對(duì)特定收件人創(chuàng)建的魚叉式網(wǎng)絡(luò)釣魚電子郵件之前，會(huì)先對(duì)攻擊目標(biāo)進(jìn)行研究，以獲取初始訪問權(quán)限。研究人員說，攻擊者甚至?xí)c受害者通信，以建立信任并增加成功攻擊的機(jī)會(huì)。

用于DLL側(cè)載的舊版合法應(yīng)用

攻擊者使用了專門為每個(gè)收件人創(chuàng)建的Gmail帳戶，Microsoft相信Bismuth黑客利用公開來源的信息來確定其目標(biāo)并自定義消息。

Bismuth還使用了DLL側(cè)載，這是一種廣泛使用的技術(shù)，該技術(shù)利用Windows應(yīng)用程序如何處理這些文件類型來加載欺騙了合法文件的惡意DLL。

在今年夏天的攻擊中，攻擊者植入了一些仍然容易受到DLL側(cè)加載攻擊的舊版本的應(yīng)用程序。其中包括了Microsoft Defender，Sysinternals DebugView工具，McAfee按需掃描程序和Microsoft Word 2007。

Bismuth攻擊鏈

研究人員能夠根據(jù)一種名為KerrDown的自定義惡意軟件將這些攻擊歸因于Bismuth，該惡意軟件在感染鏈中被下載后并由Bismuth專門使用。該惡意軟件模仿了Microsoft Word 2007中的DLL，并在應(yīng)用程序的上下文中執(zhí)行。

網(wǎng)絡(luò)發(fā)現(xiàn)和傳播

根據(jù)微軟的說法，Bismuth花了大約一個(gè)月的時(shí)間來識(shí)別受害者網(wǎng)絡(luò)中的計(jì)算機(jī)，然后這些計(jì)算機(jī)轉(zhuǎn)移到服務(wù)器上，從而進(jìn)一步擴(kuò)散。

在掃描網(wǎng)絡(luò)時(shí)，黑客收集了有關(guān)域和本地管理員的詳細(xì)信息，檢查了本地計(jì)算機(jī)上的用戶權(quán)限，并提取了設(shè)備信息。

使用PowerShell，攻擊者可以躲避檢測(cè)運(yùn)行并執(zhí)行多個(gè)cmdlet，這些cmdlet有助于跨網(wǎng)絡(luò)移動(dòng)并執(zhí)行攻擊。該活動(dòng)涉及以下階段：

• 從安全帳戶管理器(SAM)數(shù)據(jù)庫中竊取憑據(jù);
• 收集域組和用戶信息;
• 通過WMI(Windows Management Instrumentation)連接到設(shè)備;
• 從事件ID 680下的安全日志中收集憑據(jù)(可能針對(duì)與NTLM回退相關(guān)的日志);
• 收集域信任信息和ping數(shù)據(jù)庫和文件服務(wù)器在偵察期間被識(shí)別;
• 通過使用提升權(quán)限運(yùn)行的McAfee按需掃描程序的過時(shí)副本，通過DLL側(cè)加載安裝Cobalt Strike信標(biāo);

在本地系統(tǒng)(通過Mimikatz)進(jìn)行憑據(jù)盜竊之前，先安裝加密貨幣挖掘工具。盡管黑客并沒有從加密貨幣挖掘中賺到很多錢，其實(shí)所有攻擊都超過了1000美元，但它確實(shí)起到了掩護(hù)作用，因?yàn)樗洚?dāng)了真實(shí)活動(dòng)的煙幕。

他們也通過使用合法服務(wù)名稱進(jìn)行注冊(cè)來隱藏真實(shí)活動(dòng)，在這種情況下，他們使用了一個(gè)公共虛擬機(jī)進(jìn)程。

由于BISMUTH的攻擊涉及從一般攻擊到更高級(jí)、更復(fù)雜的攻擊，因此應(yīng)提升具有釣魚和貨幣挖掘等常見威脅活動(dòng)的設(shè)備并檢查高級(jí)威脅。

該攻擊使用的策略就是利用加密貨幣挖礦的活動(dòng)來掩蓋其真實(shí)攻擊意圖，因?yàn)榧用茇泿磐诘V是一種不被人重視的網(wǎng)絡(luò)安全行為。

微軟表示，Bismuth與一個(gè)名為OceanLotus(APT 32)的組織具有相似之處，據(jù)信該組織為越南政府服務(wù)。

研究人員建議公司不要忽視已發(fā)現(xiàn)的常見威脅，例如加密貨幣挖礦，并調(diào)查它們背后是否隱藏著更高級(jí)的攻擊活動(dòng)。

本文翻譯自：

https://www.bleepingcomputer.com/news/security/cyberespionage-apt-group-hides-behind-cryptomining-campaigns