Bismut APT

Bismut APT

S'ha observat un grup d'amenaça persistent avançada (APT) de llarga durada anomenat Bismuth que intenta ocultar les seves activitats recentment desplegant una càrrega útil de criptominera als seus objectius. En el panorama infosec, les operacions de criptomineria es consideren problemes no crítics i solen obtenir una resposta més moderada en comparació amb els casos de ciberespionatge o el desplegament de ransomware.

La principal especialització de Bismuth ha estat la realització de campanyes de recollida de dades i atacs d'espionatge. El grup ha estat funcional almenys des de l'any 2012, i durant aquest període, les seves eines, tècniques i procediments han anat evolucionant de manera constant tant en complexitat com en gamma. L'arsenal del grup consta de programari maliciós fet a mida combinat amb eines de codi obert. Les seves víctimes provenen d'un ampli conjunt de sectors industrials, com ara entitats internacionals, empreses que ofereixen serveis financers, entitats i agències governamentals, així com institucions educatives. Els seus objectius preferits, però, han estat permanentment les organitzacions de drets humans i civils.

Bismuth utilitza la criptomineria com a esquer

En la seva campanya més recent, el grup va comprometre objectius privats i governamentals situats a França i Vietnam. L'operació es va atribuir a Bismuth a causa del desplegament d'una amenaça de programari maliciós particular anomenada KerrDown, que s'ha detectat exclusivament com a part dels seus atacs.

Per aconseguir un lloc dins del seu objectiu, Bismuth va crear correus electrònics de pesca de pesca molt detallats dirigits a empleats específics de les organitzacions. Els pirates informàtics van recopilar diverses dades sobre les persones seleccionades abans de llançar correus electrònics corruptes. En alguns casos, els pirates informàtics fins i tot van establir comunicació amb les seves víctimes per generar confiança i crear una història molt més creïble. En les etapes inicials de l'atac, Bismuth va utilitzar una tècnica coneguda com a càrrega lateral de DLL, que veu com els pirates informàtics exploten aplicacions antigues i els obliga a carregar una DLL danyada que està falsificant un fitxer legítim. Les aplicacions que els pirates informàtics han observat com a abusades són Microsoft Word 2007, l'escàner McAffee, Microsoft Defender i l'eina Sysinternals DebugView.

Per ocultar les seves veritables intencions, els pirates informàtics de Bismuth van executar una càrrega útil de criptomineria de Monero a les màquines compromeses. Tot i que els miners no van poder generar un munt de diners, van complir el seu propòsit en desviar l'atenció de les activitats de recollida de dades del grup.

El bismut estudia els seus objectius

Un cop dins de la màquina seleccionada, els hackers de Bismuth es prenen el seu temps abans de colpejar. S'informa que el grup està a l'aguait durant aproximadament un mes dins de la xarxa compromesa, cercant i identificant els ordinadors més útils per propagar-se. Durant aquest període, l'actor de l'amenaça va recopilar diverses dades, com ara detalls de domini i administrador local, informació del dispositiu i privilegis d'usuari disponibles als sistemes locals.

L'activitat dins de la xarxa compromesa va passar per diverses etapes, començant amb els intents de recopilar credencials de les bases de dades de Security Account Manager (SAM), així com informació sobre el grup de dominis i l'usuari. Després de la recollida de dades inicial, l'actor de l'amenaça intenta aprofitar la Instrumentació de gestió de Windows (WMI) per connectar-se a dispositius addicionals. El pas final del procés veu com els pirates informàtics instal·len una balisa CobaltStrike mitjançant la càrrega lateral de DLL.

Loading...