Бисмут APT

Дългосрочна група Advanced Persistent Threat (APT), наречена Bismuth, наскоро беше наблюдавана да се опитва да скрие дейностите си, като разположи полезен товар за крипто-майнер към своите цели. В пейзажа на информацията, операциите за копаене на криптовалути се считат за некритични проблеми и обикновено предизвикват по-заглушен отговор в сравнение със случаи на кибершпионаж или внедряване на ransomware.

Основната специализация на Bismuth е провеждането на кампании за събиране на данни и шпионски атаки. Групата функционира поне от 2012 г. и през този период техните инструменти, техники и процедури се развиват както по сложност, така и по обхват. Арсеналът на групата се състои от персонализиран зловреден софтуер, комбиниран с инструменти с отворен код. Жертвите им идват от широк набор от индустриални сектори, включително международни организации, компании, предлагащи финансови услуги, държавни организации и агенции, както и образователни институции. Предпочитаните им цели обаче трайно са организациите за правата на човека и гражданите.

Бисмутът използва крипто копаене като примамка

В по-новата си кампания групата компрометира частни и правителствени цели, разположени във Франция и Виетнам. Операцията се приписва на Bismuth поради внедряването на конкретна заплаха за злонамерен софтуер, наречена KerrDown, която е открита като част от атаките изключително.

За да се закрепи в целта си, Bismuth създаде изключително подробни имейли за фишинг, насочени към конкретни служители в организациите. Хакерите събраха различни данни за избраните лица, преди да пуснат повредени имейли. В някои случаи хакерите дори установяват комуникация с жертвите си, за да изградят доверие и да създадат много по-правдоподобна история. В началните етапи на атаката Bismuth използва техника, известна като DLL странично зареждане, която вижда, че хакерите експлоатират по-стари приложения и ги принуждават да заредят повреден DLL, който подправя легитимен файл. Приложенията, за които се наблюдава злоупотреба от хакерите, са Microsoft Word 2007, скенер McAffee, Microsoft Defender и инструментът Sysinternals DebugView.

За да скрият истинските си намерения, хакерите на Bismuth изпълниха полезен товар за копаене на крипто Monero на компрометираните машини. Въпреки че миньорите не успяха да генерират много пари, те изпълниха целта си, като отклониха вниманието от дейностите на групата за събиране на данни.

Бисмутът изучава целите си

След като влязат в избраната машина, хакерите на Bismuth отделят време, преди да нанесат удар. Съобщава се, че групата дебне около месец в компрометираната мрежа, търсейки и идентифицирайки най-полезните компютри за разпространение. През този период заплахата събира различни данни, включително данни за домейн и локален администратор, информация за устройството и потребителски привилегии, налични в локалните системи.

Дейността в компрометираната мрежа премина през няколко етапа, като се започне с опити за събиране на идентификационни данни от базите данни на Security Account Manager (SAM), както и информация за групата на домейна и потребителя. След първоначалното събиране на данни, заплахата се опитва да използва инструментариума за управление на Windows (WMI), за да се свърже с допълнителни устройства. Последната стъпка от процеса вижда хакерите да инсталират CobaltStrike маяк чрез DLL странично зареждане.