Nhóm hacker sử dụng các kỹ thuật khai thác tiền ảo để ẩn mình

Nhóm hacker tiền ảo ngày càng táo bạo và tinh vi hơn trong các kế hoạch tấn công an ninh mạng.

Theo nhóm tình báo an ninh mạng của bộ bảo vệ Microsoft 365, nhóm hacker BISMUTH đã hoạt động từ năm 2012 và đang tận dụng các kỹ thuật khai thác tiền ảo để che giấu các cuộc tấn công. Đồng thời lưu ý rằng, nhóm hacker này hiện đang phát tán phần mềm độc hại khai thác tiền điện tử cùng với các bộ công cụ gián điệp mạng thông thường của họ.

“BISMUTH đã tiến hành các cuộc tấn công gián điệp mạng tinh vi kể từ năm 2012, tận dụng cả các công cụ tùy chỉnh và mã nguồn mở để nhắm mục tiêu vào các tập đoàn đa quốc gia lớn, các dịch vụ tài chính của chính phủ, các tổ chức giáo dục và các tổ chức nhân quyền và dân quyền.” theo Microsoft cho biết.

Trong các cuộc tấn công từ tháng 7 đến tháng 8 năm 2020, nhóm đã triển khai các công cụ khai thác tiền Monero với mục tiêu nhắm vào cả khu vực tư nhân và các tổ chức chính phủ ở Pháp và Việt Nam.

Bộ phận bảo vệ Microsoft 365 giải thích:

“Các công cụ khai thác tiền điện tử thường liên quan đến các hoạt động tội phạm mạng, không phải hoạt động phức tạp của tổ chức nhà nước quốc gia. Vì thế chúng sẽ không nằm trong số các vấn đề an ninh quan trọng nhất cần giải quyết khẩn cấp. Do đó, BISMUTH đã tận dụng các cảnh báo có mức độ ưu tiên thấp mà các thợ đào coin gây ra để thử và bay dưới radar cùng thiết lập tính bền bỉ.”

Cách thức hoạt động và mục đích của BISMUTH

Mục tiêu hoạt động của BISMUTH là thiết lập giám sát liên tục và trích xuất dữ liệu hữu ích khi nó xuất hiện không thay đổi. Tuy nhiên, việc sử dụng các công cụ khai thác XMR đã mở ra một cánh cổng cho những kẻ tấn công khác kiếm tiền từ các mạng bị xâm phạm.

BISMUTH cố gắng giành quyền truy cập ban đầu bằng cách gửi các email độc hại được chế tạo đặc biệt từ tài khoản gmail được tạo riêng cho chiến dịch. Thậm chí chúng còn gây dựng được độ tin cậy để thuyết phục các mục tiêu mở tệp đính kèm độc hại và bắt đầu chuỗi lây nhiễm.

Theo báo cáo, việc sử dụng các công cụ khai thác tiền điện tử cho phép BISMUTH che giấu các hoạt động có hại hơn đằng sau các mối đe dọa mà nhiều hệ thống đã coi là phần mềm hàng hóa độc hại.

Nhóm nghiên cứu cho biết: “Việc thực hiện hành động nhanh chóng để giải quyết các cảnh báo đánh dấu các giai đoạn ban đầu của một cuộc tấn công là rất quan trọng.”

Báo cáo cũng lưu ý người dùng tự bảo vệ thông tin cá nhân và doanh nghiệp của họ trên phương tiện truyền thông xã hội và định cấu hình cài đặt lọc email Office 365. Không cho phép tập lệnh hoặc chỉ cho phép tập lệnh từ các vị trí đã biết và kiểm tra cài đặt tường lửa, proxy chu vi để hạn chế máy chủ thực hiện kết nối tùy ý với internet.