网络|黑客在加密矿工的背后隐藏了什么活动？低薪|中薪|加密|黑客|隐藏|背后

微软的365 Defender威胁情报小组称该黑客在今年7月至8月之间部署了Monero（门罗币）硬币矿工，攻击了法国和越南的私营部门。

文章插图
这家Windows制造商将Bismuth比作OceanLotus（或APT32），并使用定制和开源工具集将其与间谍软件攻击联系起来，以大型跨国公司，金融服务，教育机构以及组织为目标。
进行此开发之际，OceanLotus被发现利用新的macOS后门，使攻击者可以窥探并从受感染的计算机中窃取机密信息和敏感的商业文档。
使用硬币矿工进行混入
尽管该组织的间谍活动和渗透策略基本上保持不变，但将硬币矿工纳入其武库中表明了一种新的方法可以从受感染的网络中获利，更不用说狡猾的手段来尽可能长时间地混入和逃避检测。
为此，针对目标组织中的特定收件人精心制作了越南语量身定制的鱼叉式网络钓鱼电子邮件，在某些情况下，威胁参与者甚至与目标建立了对应关系，以增加打开嵌入其中的恶意文档的机会。电子邮件并触发感染链。
另一种单独的技术涉及DLL侧加载的使用，其中合法库被恶意变体替换，利用合法软件的过时版本（例如Microsoft Defender Antivirus，Sysinternals DebugView和Microsoft Word 2007）加载流氓DLL文件并建立到受感染设备和网络的持久命令和控制（C2）通道。
然后，新建立的渠道被用于丢弃许多下一阶段的有效载荷，包括用于网络扫描，凭证盗窃，Monero硬币开采和进行侦察的工具，其结果以“ .csv”文件。
隐藏在众目睽睽下
微软说：“攻击通过与正常的网络活动或攻击者预期将受到低优先级关注的常见威胁相融合，来强调隐藏在普通视线之外。社会工程学和使用合法应用程序来加载恶意DLL的结合需要多层保护，这些保护措施的重点是尽早阻止威胁，并在攻击成功通过时减轻攻击的进程。”
【 网络|黑客在加密矿工的背后隐藏了什么活动？】知名网络安全组织东方联盟研究人员表示：“建议企业通过加强电子邮件过滤和防火墙设置，强制执行凭证以及打开多因素身份验证，来限制用于获得初始访问权限的攻击面。” （欢迎转载分享）