Theo Microsoft, nhóm tin tặc APT32, (hay còn gọi là Ocean Lotus, BISMUTH) đã triển khai phần mềm độc hại khai thác tiền điện tử để thu lợi từ hệ thống mạng của những tổ chức mà họ theo dõi.
APT32 là cái tên gắn liền với nhiều chiến dịch gián điệp mạng tinh vi nhắm với các mục tiêu đa dạng như: nhà sản xuất ô tô, cơ quan nhà nước Trung Quốc…
Từ tháng 7 đến tháng 8/2020, nhóm APT32 đã thực hiện nhiều cuộc tấn công vào các tổ chức tư nhân và công cộng ở Pháp và Việt Nam để triển khai các hệ thống đào tiền ảo Monero. Theo Microsoft, hành động này vừa có thể trục lợi, vừa là một phần của kế hoạch tấn công che giấu danh tính.
Các công ty khai thác tiền điện tử sẽ cho phép BISMUTH che giấu những hoạt động bất chính đằng sau các mối đe dọa ít nghiêm trọng hơn vì những loại mã độc này thường được xem là một loại hàng hóa, tài sản có thể giao dịch trong bóng tối.
Trong nhiều trường hợp, các loại trojan ngân hàng có chứa mã độc tống tiền (ransomware) do tin tặc vận hành, một số phần mềm độc hại phổ biến có thể được xem là dấu hiệu nhận biết những cuộc tấn công mạng tinh vi hơn, cần được xử lý khẩn cấp hoặc điều tra và giải quyết toàn diện.
Bên cạnh đó, tin tặc còn sử dụng một số chiến thuật tấn công khác, được thiết kế để “hòa nhập” vào hệ thống của nạn nhân, ví dụ: nhắm mục tiêu vào một cá nhân trong tổ chức rồi thực hiện hành vi lừa đảo trực tuyến; hoặc trao đổi thư từ với nạn nhân của họ để dẫn dụ họ mở tập tin độc hại đính kèm.
Một phương pháp tấn công khác là sử dụng tính năng DLL Side-loading (kỹ thuật tấn công mà một tập tin DLL giả mạo có thể nạp vào bộ nhớ ứng dụng và thực thi mã ngoài ý muốn) thông qua những ứng dụng lỗi thời như Microsoft Defender Antivirus.
“Việc kết hợp rất quan trọng đối với nhóm tin tặc APT32 vì họ đã dành rất nhiều thời gian để tìm hiểu các mạng bị xâm nhập để tìm cách truy cập và di chuyển sang các mục tiêu giá trị hơn như máy chủ. Sao đó họ bắt đầu cài đặt nhiều công cụ khác nhau để phục vụ cho mục đích của mình”, Microsoft nhận định.
“Trong các cuộc tấn công, nhóm tin tặc APT32 chủ yếu dựa vào những tập lệnh PowerShell để lẩn trốn, khiến các hoạt động của họ càng trở nên bí mật hơn”.
Các tổ chức có nguy cơ bị tấn công bởi hình thức này nên tập trung vào giảm bề mặt tấn công thông qua việc hướng dẫn người dùng, vô hiệu hóa Macro, tinh chỉnh bộ lọc email cùng một số kỹ thuật khác. Thông quá đó cải thiện hệ thống lọc thông tin xác thực bằng MFA (Multi-factor Authentication – Xác thực đa nhân tố: hệ thống bảo mật yêu cầu nhiều phương thức xác thực để xác minh danh tính của người dùng cho thông tin đăng nhập hoặc giao dịch khác) và ngăn chặn tấn công tràn lan bằng phát hiện xâm nhập, tường lửa cùng những công cụ khác.