___

И сразу вторая новость про APT OceanLotus . Точнее про хакерскую группу Bismuth , которую исследователи Microsoft почему-то полагают схожей с OceanLotus . Впрочем, у них частенько бывает свое эксклюзивное мнение относительно APT, по поводу которого они не стесняются поругаться с другими инфосек вендорами. Microsoft сообщают, что в период с июля по август 2020 года наблюдали атаки Bismuth на ряд коммерческих и правительственных организаций. Исследователи достаточно подробно описывают две атаки, в отражении которых они непосредственно приняли участие. Вектором первичного проникновения был целевой фишинг, детали которого свидетельствовали о проведенной предварительной разведке целевой организации и ее сотрудников. Далее хакеры проводили тщательную разведку сети, осуществляли боковое перемещение, захватывали учетные записи, прокидывали каналы связи и даже установили внутри скомпрометированной сети промежуточный управляющий центр. В общем, это были грамотные кибершпионские операции, в которых, как мы понимаем, использовались как авторские вредоносы, так и общедоступные инструменты - Mimikatz и Cobalt Strike. Что же отличало их от другой ранее выявленной активности OceanLotus . Во-первых, то, что в ходе проникновения хакеры поставили в атакованной сети майнеры криптовалюты Monero и за время атаки заработали более тысячи долларов. Эксперты из Microsoft полагают, что это была некая операция прикрытия, чтобы запудрить инфосеку мозги и скрыть истинную цель взлома. А во-вторых, Microsoft сообщают, что целями были частные и государственные организации из Франции и Вьетнама. И вот тут у нас трескается шаблон. Зачем прогосударственной вьетнамской APT OceanLotus атаковать коммерческий сектор Вьетнама, не говоря уж про госконторы? Это же шизофрения явная. Рассказы Microsoft про то, что это проклятые вьетнамские социалистические держиморды атаковали приватизированные ранее вьетнамские госпредприятия, чтобы нагло шпионить за молодыми побегами вьетнамского капиталистического авангарда, не выдерживают никакой критики. Уж не говоря про то, что это никак не объясняет атаки Bismuth на сами государственные учреждения. Зато вполне себе представимы APT иных государств, которые в целях затруднения последующей атрибуции атаки со стороны исследователей, могут использовать TTPs других хакерских групп, пытаясь мимикрировать под них. Это могут быть и китайские товарищи, и американские господа, да много кто еще. Есть нам память не изменяет, то сеульские хакеры из Dark Hotel тоже подобным баловались. Почему Microsoft это не учитывают не ясно. Видимо, изначально гуков недолюбливают.