网络间谍APT组织伪装成加密货币挖矿活动来发起各种侵犯

加密货币挖掘发起攻击的诱饵

Bismuth经常以人权和民权组织为目标，但它的受害者名单其实包括跨国公司、金融服务、教育机构和政府部门的对象。

自2012年以来，Bismuth就一直在从事网络间谍活动。此后，攻击者将自定义工具与免费工具相结合，攻击的复杂性也随之增加。

不过，在最近的攻击活动中，Bismuth在法国和越南的私人和政府组织的受感染系统上启动了门罗币采矿活动。

微软早在7月和8月就检测到了发生的攻击，称加密货币挖掘活动并没有改变攻击者的目标，而是继续监控和窃取感兴趣的信息。微软的研究人员表示BISMUTH使用加密货币挖掘活动的方式来掩盖自己的攻击虽然出乎意料，但这与该组织长期使用的混合方法是一致的。

黑客在发送针对特定收件人创建的鱼叉式网络钓鱼电子邮件之前，会先对攻击目标进行研究，以获取初始访问权限。研究人员说，攻击者甚至会与受害者通信，以建立信任并增加成功攻击的机会。

用于DLL侧载的旧版合法应用

攻击者使用了专门为每个收件人创建的Gmail帐户，Microsoft相信Bismuth黑客利用公开来源的信息来确定其目标并自定义消息。

Bismuth还使用了DLL侧载，这是一种广泛使用的技术，该技术利用Windows应用程序如何处理这些文件类型来加载欺骗了合法文件的恶意DLL。

在今年夏天的攻击中，攻击者植入了一些仍然容易受到DLL侧加载攻击的旧版本的应用程序。其中包括了Microsoft Defender，Sysinternals DebugView工具，McAfee按需扫描程序和Microsoft Word 2007。

（编辑：开发网_开封站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!