早在2018 年，由于加密貨幣挖礦的攻擊性低以及隱秘性特點，其迅速成為網絡罪犯首選的攻擊載體和偽裝手段。

近日一個名為Bismuth的高級威脅組織最近使用加密貨幣挖掘作為隱藏其活動的手段并避免觸發高優先級警報的方法。

加密貨幣挖掘通常被認為是一種不怎么具有安全隱患的安全問題，因此該方法允許攻擊者建立持久性攻擊并在受到攻擊的網絡上橫向移動，同時從攻擊中獲利。

[[389525]]

加密貨幣挖掘發起攻擊的誘餌

Bismuth經常以人權和民權組織為目標，但它的受害者名單其實包括跨國公司、金融服務、教育機構和政府部門的對象。

自2012年以來，Bismuth就一直在從事網絡間諜活動。此后，攻擊者將自定義工具與免費工具相結合，攻擊的復雜性也隨之增加。

不過，在最近的攻擊活動中，Bismuth在法國和越南的私人和政府組織的受感染系統上啟動了門羅幣采礦活動。

微軟早在7月和8月就檢測到了發生的攻擊，稱加密貨幣挖掘活動并沒有改變攻擊者的目標，而是繼續監控和竊取感興趣的信息。微軟的研究人員表示BISMUTH使用加密貨幣挖掘活動的方式來掩蓋自己的攻擊雖然出乎意料，但這與該組織長期使用的混合方法是一致的。

黑客在發送針對特定收件人創建的魚叉式網絡釣魚電子郵件之前，會先對攻擊目標進行研究，以獲取初始訪問權限。研究人員說，攻擊者甚至會與受害者通信，以建立信任并增加成功攻擊的機會。

用于DLL側載的舊版合法應用

攻擊者使用了專門為每個收件人創建的Gmail帳戶，Microsoft相信Bismuth黑客利用公開來源的信息來確定其目標并自定義消息。

Bismuth還使用了DLL側載，這是一種廣泛使用的技術，該技術利用Windows應用程序如何處理這些文件類型來加載欺騙了合法文件的惡意DLL。

在今年夏天的攻擊中，攻擊者植入了一些仍然容易受到DLL側加載攻擊的舊版本的應用程序。其中包括了Microsoft Defender，Sysinternals DebugView工具，McAfee按需掃描程序和Microsoft Word 2007。

Bismuth攻擊鏈

研究人員能夠根據一種名為KerrDown的自定義惡意軟件將這些攻擊歸因于Bismuth，該惡意軟件在感染鏈中被下載后并由Bismuth專門使用。該惡意軟件模仿了Microsoft Word 2007中的DLL，并在應用程序的上下文中執行。

網絡發現和傳播

根據微軟的說法，Bismuth花了大約一個月的時間來識別受害者網絡中的計算機，然后這些計算機轉移到服務器上，從而進一步擴散。

在掃描網絡時，黑客收集了有關域和本地管理員的詳細信息，檢查了本地計算機上的用戶權限，并提取了設備信息。

使用PowerShell，攻擊者可以躲避檢測運行并執行多個cmdlet，這些cmdlet有助于跨網絡移動并執行攻擊。該活動涉及以下階段：

• 從安全帳戶管理器(SAM)數據庫中竊取憑據;
• 收集域組和用戶信息;
• 通過WMI(Windows Management Instrumentation)連接到設備;
• 從事件ID 680下的安全日志中收集憑據(可能針對與NTLM回退相關的日志);
• 收集域信任信息和ping數據庫和文件服務器在偵察期間被識別;
• 通過使用提升權限運行的McAfee按需掃描程序的過時副本，通過DLL側加載安裝Cobalt Strike信標;

在本地系統(通過Mimikatz)進行憑據盜竊之前，先安裝加密貨幣挖掘工具。盡管黑客并沒有從加密貨幣挖掘中賺到很多錢，其實所有攻擊都超過了1000美元，但它確實起到了掩護作用，因為它充當了真實活動的煙幕。

他們也通過使用合法服務名稱進行注冊來隱藏真實活動，在這種情況下，他們使用了一個公共虛擬機進程。

由于BISMUTH的攻擊涉及從一般攻擊到更高級、更復雜的攻擊，因此應提升具有釣魚和貨幣挖掘等常見威脅活動的設備并檢查高級威脅。

該攻擊使用的策略就是利用加密貨幣挖礦的活動來掩蓋其真實攻擊意圖，因為加密貨幣挖礦是一種不被人重視的網絡安全行為。

微軟表示，Bismuth與一個名為OceanLotus(APT 32)的組織具有相似之處，據信該組織為越南政府服務。

研究人員建議公司不要忽視已發現的常見威脅，例如加密貨幣挖礦，并調查它們背后是否隱藏著更高級的攻擊活動。

本文翻譯自：

https://www.bleepingcomputer.com/news/security/cyberespionage-apt-group-hides-behind-cryptomining-campaigns