Seite 2: Auch Microsoft warnt vor APT-"Verschleierung"

Inhaltsverzeichnis

Im Gegensatz zu Turla war die APT-Gruppe BISMUTH, über deren Aktivitäten Microsoft in einem aktuellen Blogeintrag berichtet, der Öffentlichkeit bislang eher unbekannt. Im Rahmen einer Angriffskampagne zwischen Juli und August 2020 auf private und staatliche Einrichtungen in Frankreich und Vietnam soll sie sich allerdings Techniken bedient haben, die an Turlas Verschleierungsstrategie erinnern.

Um sich, wie Microsofts Analyse zu BISMUTH es zusammenfasst, hinter "normaler" Netzwerkaktivität zu verstecken, schleuste die Gruppe Kopien älterer, legitimer Software auf kompromittierte Rechner. Sie ersetzte bekannte Programmbibliotheken (Dynamic Link Libraries, DLLs) durch eigenen Code und ließ diesen dann durch die Software (nach-)laden. Für die Maskerade bediente sie sich unter anderem ausgerechnet an Kopien des Windows Defenders, außerdem am DebugView-Tool aus der Sysinternals-Sammlung, an MacAfees On-Demand-Scanner sowie an Microsoft Word 2007.

Coin-Mining als kleineres Übel vorgeschoben

Die BISMUTH-Gruppe ergänzte das Versteckspiel außerdem dadurch, dass sie Coin-Miner für die Kryptowährung Monero mitinstallierte. Auf diese Weise habe die Gruppe durch eine Bedrohung, die gemeinhin als lästig empfunden, aber nicht mit hoher Priorät behandelt und schon gar nicht mit APTs in Verbindung gebracht werde, von der tatsächlichen Gefahr ablenken wollen.

Vor einer akuten Bedrohung durch BISMUTH für Unternehmen und öffentliche Einrichtungen hierzulande warnt Microsoft derzeit nicht; auch beschränken sich die Indikatoren, anders als im Bericht zu Crutch, auf eine kurze MITRE ATT&CK-Zusammenfassung der verwendeten Techniken. Dennoch ist Microsofts Analyse der BISMUTH-Aktivitäten eine weitere interessante Informationsquelle zu aktuellen Tarnungsstrategien von APT-Gruppen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Umfragen immer laden Umfrage jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Mehr zu MITRE ATT&CK und anderen Security-Orientierungshilfen:

(ovw)