Un actor de estado-nación conocido por sus campañas de espionaje cibernético desde 2012 ahora está utilizando técnicas de minería de monedas para permanecer bajo el radar y establecer la persistencia en los sistemas de las víctimas, según una nueva investigación.
Al atribuir el cambio a un actor de amenazas rastreado como Bismuth, el equipo de inteligencia de amenazas de Microsoft 365 Defender de Microsoft dijo que el grupo desplegó mineros de monedas Monero en ataques dirigidos tanto al sector privado como a instituciones gubernamentales en Francia y Vietnam entre julio y agosto a principios de este año.
«Los mineros de monedas también permitieron que Bismuth ocultara sus actividades más nefastas detrás de amenazas que pueden percibirse como menos alarmantes porque son malware ‘commodity'», dijeron los investigadores en un análisis publicado ayer.
Las principales víctimas del ataque han sido rastreadas hasta empresas estatales en Vietnam y entidades vinculadas a una agencia del gobierno vietnamita.
El fabricante de Windows comparó a Bismuth con OceanLotus (o APT32), vinculándolo con ataques de spyware utilizando conjuntos de herramientas personalizados y de código abierto para apuntar a grandes corporaciones multinacionales, gobiernos, servicios financieros, instituciones educativas y organizaciones de derechos humanos y civiles.
El desarrollo se produce cuando se descubrió que OceanLotus aprovechaba una nueva puerta trasera de macOS que permite a los atacantes husmear y robar información confidencial y documentos comerciales confidenciales de las máquinas infectadas.
Usar mineros de monedas para mezclarse
Aunque las tácticas de espionaje y exfiltración del grupo se han mantenido esencialmente iguales, la inclusión de mineros de monedas en su arsenal apunta a una nueva forma de monetizar las redes comprometidas, sin mencionar un medio astuto de mezclarse y evadir la detección durante el mayor tiempo posible.
La idea es ganar tiempo para moverse lateralmente e infectar objetivos de alto valor como servidores para una mayor propagación.
Para lograr esto, se diseñaron correos electrónicos de phishing personalizado escritos en vietnamita para destinatarios específicos en una organización objetivo y, en algunos casos, el actor de amenazas incluso estableció correspondencia con los objetivos en un intento por aumentar las posibilidades de abrir el documento malicioso incrustado en los correos electrónicos y desencadenar la cadena de infección.
Una técnica separada implicó el uso de la carga lateral de DLL, en la que una biblioteca legítima se reemplaza con una variante maliciosa, utilizando versiones obsoletas de software legítimo como Microsoft Defender Antivirus, Sysinternals DebugView y Microsoft Word 2007 para cargar archivos DLL no autorizados y establecer un canal persistente de comando y control (C2) al dispositivo comprometido y a la red.
Luego, el canal recién establecido se usó para lanzar una serie de cargas útiles de la siguiente etapa, incluidas herramientas para escaneo de red, robo de credenciales, minería de monedas Monero y realización de reconocimiento, cuyos resultados se transmitieron al servidor en forma de » .csv «archivo.
Ocultos a plena vista
“Los ataques de bismuto ponen un fuerte énfasis en esconderse a simple vista al mezclarse con la actividad normal de la red o las amenazas comunes que los atacantes anticipan que recibirán una atención de baja prioridad”, dijo Microsoft.
«La combinación de ingeniería social y el uso de aplicaciones legítimas para transferir archivos DLL maliciosos implica múltiples capas de protección enfocadas en detener las amenazas en la etapa más temprana posible y mitigar la progresión de los ataques si logran colarse».
Se recomienda que las empresas limiten la superficie de ataque utilizada para obtener el acceso inicial al reforzar el filtrado de correo electrónico y la configuración del firewall, hacer cumplir la higiene de credenciales y activar la autenticación de múltiples factores.