Microsoft waarschuwt voor een spionagegroep die bedrijven en overheidsinstellingen in Frankrijk en Vietnam aanvalt en cryptominers als afleidingsmanoeuvre installeert. De groep wordt door Microsoft "Bismuth" genoemd en vertoont volgens het techbedrijf overeenkomsten met een groep aanvallers die bekendstaat als OceanLotus en APT32.
De groep maakt gebruik van phishingmails om organisaties te infecteren. In sommige gevallen wordt er eerst enige tijd met het doelwit gecorrespondeerd voordat die een kwaadaardig document krijgt toegestuurd. Dit document bevat kwaadaardige code die, wanneer door de gebruiker geactiveerd, malware op het systeem installeert.
De aanvallers maken hierbij gebruik van een techniek genaamd DLL-sideloading. Ze laten een legitiem programma een kwaadaardig DLL-bestand uitvoeren dat in werkelijkheid malware is. In dit geval downloaden de aanvallers een oude versie van Microsoft Defender Antivirus die kwetsbaar is voor DLL-sideloading en zorgen ervoor dat de virusscanner tijdens het starten van het systeem wordt geladen. Zodra Defender wordt gestart zal die een tevens geïnstalleerd kwaadaardig DLL-bestand uitvoeren.
Naast Microsoft Defender Antivirus maken de aanvallers ook gebruik van verouderde versies van Sysinternal DebugView, de McAfee on-demand scanner en Microsoft Word 2007. Vervolgens proberen de aanvallers andere systemen in het netwerk te infecteren en allerlei inloggegevens te stelen. Bij aanvallen die in juli en augustus plaatsvonden installeerden de aanvallers ook een cryptominer die de rekenkracht van besmette machines gebruikte om de digitale valuta Monero te delven.
Volgens Microsoft deed de groep dit opzettelijk als afleidingsmanoeuvre om de andere activiteiten te verbergen. Cryptominers zouden minder aandacht van verdedigers trekken omdat het als minder gevaarlijke malware wordt beschouwd, aldus Microsoft. In de tussentijd kunnen de aanvallers doorgaan met het stelen van vertrouwelijke gegevens. Daarnaast levert het gebruik van de cryptominer ook extra inkomsten op. Volgens het techbedrijf werd er met de ontdekte cryptominers in totaal duizenden dollars verdiend.
Deze posting is gelocked. Reageren is niet meer mogelijk.