Seorang aktor negara bangsa yang dikenal dengan kampanye spionase dunia maya sejak 2012 sekarang menggunakan teknik penambang koin untuk tetap berada di bawah radar dan membangun ketekunan pada sistem korban, menurut penelitian baru.
Mengaitkan pergeseran ke aktor ancaman yang dilacak sebagai Bismuth, Tim Intelijen Ancaman Pembela Microsoft 365 mengatakan bahwa kelompok tersebut mengerahkan penambang koin Monero dalam serangan yang menargetkan sektor swasta dan lembaga pemerintah di Prancis dan Vietnam antara Juli dan Agustus awal tahun ini.
"Para penambang koin juga mengizinkan Bismuth menyembunyikan aktivitasnya yang lebih jahat di balik ancaman yang mungkin dianggap tidak terlalu mengkhawatirkan karena mereka adalah malware 'komoditas'," kata para peneliti dalam analisis yang diterbitkan kemarin.
Korban utama serangan itu telah dilacak ke perusahaan milik negara di Vietnam dan entitas yang memiliki hubungan dengan badan pemerintah Vietnam.
Pembuat Windows menyamakan Bismuth dengan OceanLotus (atau APT32), menautkannya ke serangan spyware menggunakan perangkat khusus dan sumber terbuka untuk menargetkan perusahaan multinasional besar, pemerintah, layanan keuangan, lembaga pendidikan, dan organisasi hak asasi manusia dan sipil.
Perkembangan ini terjadi saat OceanLotus ditemukan memanfaatkan pintu belakang macOS baru yang memungkinkan penyerang untuk mengintip dan mencuri informasi rahasia dan dokumen bisnis sensitif dari mesin yang terinfeksi.
Menggunakan Penambang Koin untuk Menyatu
Meskipun spionase dan taktik eksfiltrasi kelompok pada dasarnya tetap sama, masuknya penambang koin di gudang senjata mereka menunjukkan cara baru untuk memonetisasi jaringan yang dikompromikan, belum lagi cara licik untuk membaur dan menghindari deteksi selama mungkin.
Idenya adalah untuk mengulur waktu untuk bergerak secara lateral dan menginfeksi target bernilai tinggi seperti server untuk penyebaran lebih lanjut.
Untuk mencapai hal ini, email spear-phishing yang ditulis dalam bahasa Vietnam dibuat untuk penerima tertentu dalam organisasi target, dan dalam beberapa kasus, pelaku ancaman bahkan membuat korespondensi dengan target dalam upaya untuk meningkatkan peluang membuka dokumen berbahaya yang disematkan di email dan memicu rantai infeksi.
Teknik terpisah melibatkan penggunaan side-loading DLL , di mana pustaka yang sah diganti dengan varian yang berbahaya, memanfaatkan versi lama dari perangkat lunak sah seperti Microsoft Defender Antivirus, Sysinternals DebugView, dan Microsoft Word 2007 untuk memuat file DLL nakal dan membuat saluran perintah dan kontrol (C2) yang persisten ke perangkat dan jaringan yang disusupi.
Saluran yang baru dibuat ini kemudian digunakan untuk menjatuhkan sejumlah muatan tahap berikutnya, termasuk alat untuk pemindaian jaringan, pencurian kredensial, penambangan koin Monero, dan melakukan pengintaian, yang hasilnya dikirimkan kembali ke server dalam bentuk " .csv ".
Bersembunyi di Plain Sight
"Serangan Bismuth sangat menekankan pada bersembunyi di depan mata dengan membaur dengan aktivitas jaringan normal atau ancaman umum yang diantisipasi penyerang akan mendapatkan perhatian dengan prioritas rendah," kata Microsoft.
"Kombinasi rekayasa sosial dan penggunaan aplikasi yang sah untuk melakukan sideload DLL berbahaya memerlukan perlindungan berlapis yang difokuskan pada penghentian ancaman pada tahap sedini mungkin dan memitigasi perkembangan serangan jika berhasil lolos."
Direkomendasikan agar bisnis membatasi permukaan serangan yang digunakan untuk mendapatkan akses awal dengan memperkuat pemfilteran email dan setelan firewall, menerapkan kebersihan kredensial, dan mengaktifkan autentikasi multi-faktor.
*Beware click the link!
Murtad methamphetamine
Sandidi
ImamWawe
