البزموت APT

لوحظت مجموعة التهديد المستمر المتقدم (APT) التي تدعى Bismuth تحاول إخفاء أنشطتها مؤخرًا عن طريق نشر حمولة عامل منجم مشفر على أهدافها. في مشهد معلومات أمن المعلومات ، تُعتبر عمليات التنقيب عن العملات المشفرة مشكلات غير حرجة وعادة ما تثير استجابة أكثر هدوءًا عند مقارنتها بحالات التجسس الإلكتروني أو نشر برامج الفدية.

كان تخصص بزموت الرئيسي هو إجراء حملات لجمع البيانات وهجمات التجسس. تعمل المجموعة منذ عام 2012 على الأقل ، وخلال تلك الفترة ، تطورت أدواتها وتقنياتها وإجراءاتها في كل من التعقيد والنطاق بشكل مطرد. تتكون ترسانة المجموعة من برامج ضارة مصممة خصيصًا مدمجة مع أدوات مفتوحة المصدر. يأتي ضحاياهم من مجموعة واسعة من قطاعات الصناعة ، بما في ذلك الكيانات الدولية والشركات التي تقدم خدمات مالية والهيئات والوكالات الحكومية ، فضلاً عن المؤسسات التعليمية. ومع ذلك ، فإن أهدافهم المفضلة كانت دائمًا منظمات حقوق الإنسان والحقوق المدنية.

يستخدم البزموت التعدين المشفر كشرك

في حملتها الأخيرة ، قامت المجموعة بضرب أهداف خاصة وحكومية في فرنسا وفيتنام. نُسبت العملية إلى Bismuth بسبب نشر تهديد برنامج ضار معين يسمى KerrDown ، والذي تم اكتشافه كجزء من هجماته حصريًا.

للحصول على موطئ قدم داخل هدفه ، صمم Bismuth رسائل بريد إلكتروني تصيد احتيالي مفصلة للغاية موجهة إلى موظفين معينين داخل المؤسسات. قام المتسللون بجمع بيانات مختلفة حول الأفراد المختارين قبل إطلاق رسائل البريد الإلكتروني التالفة. في بعض الحالات ، أقام المتسللون اتصالات مع ضحاياهم لبناء الثقة وخلق قصة أكثر تصديقًا. في المراحل الأولى من الهجوم ، استخدم Bismuth تقنية تُعرف باسم التحميل الجانبي لـ DLL ، والتي ترى المتسللين يستغلون التطبيقات القديمة ويجبرونها على تحميل DLL تالف ينتحل ملفًا شرعيًا. التطبيقات التي لوحظ أنه يتم إساءة استخدامها من قبل المتسللين هي Microsoft Word 2007 و McAffee scanner و Microsoft Defender وأداة Sysinternals DebugView.

لإخفاء نواياهم الحقيقية ، نفذ قراصنة Bismuth حمولة تعدين Monero crypto على الأجهزة المخترقة. بينما لم يكن عمال المناجم قادرين على جني الكثير من المال ، فقد خدموا غرضهم في تجنب الانتباه بعيدًا عن أنشطة جمع البيانات للمجموعة.

البزموت يدرس أهدافه

بمجرد دخول الجهاز المحدد ، يأخذ قراصنة البزموت وقتهم قبل الضرب. وبحسب ما ورد ، فإن المجموعة تتربص لمدة شهر داخل الشبكة المعرضة للخطر ، وتقوم بالبحث والتعرف على أكثر أجهزة الكمبيوتر فائدة للانتشار إليها. خلال هذه الفترة ، قام ممثل التهديد بجمع بيانات مختلفة ، بما في ذلك تفاصيل المجال والمسؤول المحلي ومعلومات الجهاز وامتيازات المستخدم المتاحة على الأنظمة المحلية.

انتقل النشاط داخل الشبكة المخترقة عبر عدة مراحل ، بدءًا من محاولات جمع بيانات الاعتماد من قواعد بيانات مدير حساب الأمان (SAM) ، بالإضافة إلى معلومات حول مجموعة المجال والمستخدم. بعد حصاد البيانات الأولي ، يحاول ممثل التهديد الاستفادة من Windows Management Instrumentation (WMI) للاتصال بأجهزة إضافية. تتمثل الخطوة الأخيرة من العملية في قيام المتسللين بتثبيت منارة CobaltStrike عبر التحميل الجانبي لـ DLL.