Bismuth exploite un malware de cryptominage
Connu pour être un groupe de cyberespionnage, Bismuth s'est également essayé à une campagne malveillante de cryptominage.
Bismuth est le nom donné par Microsoft à un groupe de cyberespionnage originaire du Vietnam (et donc rien à voir avec Paul Bismuth, le nom utilisé comme alias par Nicolas Sarkozy ^^) et qui agirait avec le soutien du gouvernement de Hanoï. Actif depuis 2012, il est autrement connu en tant que OceanLotus ou APT32 comme le nomme FireEye.
APT32 a surtout été associé à des attaques de cyberespionnage contre des multinationales, gouvernements, services financiers, établissements d'enseignement ou encore des organisations de défense des droits de l'homme.
Les chercheurs en sécurité de Microsoft 365 Defender Threat Intelligence Team rapportent des campagnes d'attaque atypiques de Bismuth l'été dernier. Le groupe a déployé un malware de cryptominage (pour la cryptomonnaie Monero) dans des attaques ayant visé le secteur privé et des institutions publiques en France et au Vietnam.
Selon Microsoft, les objectifs du groupe restent globalement les mêmes avec du cyberespionnage et de l'exfiltration de données. Inattendu, le cryptominage malveillant serait un moyen d'explorer des possibilités de monétisation de réseaux compromis.
Aussi pour brouiller les pistes
Des experts en cybersécurité ont déjà signalé que des groupes APT ont dérivé des seules activités de cyberespionnage pour le compte d'un État, et ont flirté avec de la cybercriminalité et l'appât du gain financier. Mais cela peut aussi être un jeu de dupe avec une manière de brouiller les pistes sur les visées réelles d'une cyberattaque.
Les chercheurs de Microsoft ont constaté que le groupe Bismuth a tenté d'obtenir un accès au réseau d'une victime avec l'envoi d'emails malveillants spécialement conçus depuis un compte Gmail. Il a également eu recours à des fichiers DLL malveillants pour usurper des fichiers légitimes, et notamment de Microsoft Defender Antivirus. Pour l'attaque, le groupe s'est aussi appuyé sur des scripts PowerShell.
New blog: The threat actor BISMUTH, which has been running increasingly complex targeted attacks, deployed coin miners in campaigns from July to August 2020. Learn how the group tried to stay under the radar using threats perceived to be less alarming: https://t.co/2bmXdYfhvu
— Microsoft Security Intelligence (@MsftSecIntel) November 30, 2020
Reste à voir si l'aventure de Bismuth dans la cybercriminalité restera une exception ou non. Rappelons que la Corée du Nord a été accusée de soutenir des cyberattaques sophistiquées pour générer des revenus et passer outre des sanctions économiques à son encontre.
-
![Cyberattaque contre l'Ukraine : un malware destructeur déguisé en ransomware]()
La cyberattaque contre l'Ukraine serait de plus grande ampleur que des défacements avec un malware destructeur se faisant passer pour un ransomware. -
![Jeux pirates : un malware désactive les antivirus pour miner de la cryptomonnaie]()
Avast alerte les joueurs sur la découverte de malwares au sein de versions piratées de jeux vidéo téléchargés sur la toile.
Vos commentaires
https://www.marianne.net/politique/droite/au-proces-sarkozy-bismuth-sans-bismuth
Ulysse court vite... Très vite ===>[]
Et non, c'est pas un pote.
Paul Bismuth est victime d'avoir prêté son identité pour que son ami d'enfance, un avocat peu scrupuleux, puisse acheter une ligne mobile, et converser en toute intimité avec N.S à propos entre autres de supposés trafics d'influence (muter le juge à un poste qu'il a convoité, en échange de faveurs judiciaires).
C'était ironique
Si il a sciemment prêté son identité, il n'est pas victime, mais complice.
Si il se l'est faite voler, alors effectivement il est une victime.