Bismut APT

Dlouhodobá skupina Advanced Persistent Threat (APT) nazvaná Bismuth byla pozorována, jak se nedávno snaží skrýt své aktivity tím, že na své cíle nasadila užitečné zatížení krypto-těžařů. V prostředí infosec jsou operace těžby kryptoměn považovány za nekritické problémy a obvykle vyvolávají tlumenější odezvu ve srovnání s případy kybernetické špionáže nebo nasazení ransomwaru.

Bismuthovou hlavní specializací bylo vedení shromažďování dat a špionážní útočné kampaně. Skupina funguje minimálně od roku 2012 a za tu dobu se její nástroje, techniky a postupy neustále vyvíjejí jak ve složitosti, tak v rozsahu. Arzenál skupiny tvoří malware vyrobený na míru v kombinaci s open-source nástroji. Jejich oběti pocházejí z celé řady průmyslových odvětví, včetně mezinárodních subjektů, společností nabízejících finanční služby, vládních subjektů a agentur a také vzdělávacích institucí. Jejich upřednostňovaným cílem však trvale byly organizace pro lidská a občanská práva.

Bismut využívá těžbu kryptoměn jako návnadu

Ve své nedávné kampani skupina kompromitovala soukromé a vládní cíle ve Francii a Vietnamu. Operace byla připsána Bismuthovi kvůli nasazení konkrétní malwarové hrozby s názvem KerrDown, která byla detekována výhradně jako součást jejích útoků.

Aby Bismuth získal oporu ve svém cíli, vytvořil velmi podrobné e-maily typu spear-phishing zaměřené na konkrétní zaměstnance v rámci organizací. Hackeři před spuštěním poškozených e-mailů shromáždili různá data o vybraných jednotlivcích. V některých případech hackeři dokonce navázali komunikaci se svými oběťmi, aby si vybudovali důvěru a vytvořili mnohem uvěřitelnější příběh. V počátečních fázích útoku použil Bismuth techniku známou jako DLL side-loading, která vidí, jak hackeři zneužívají starší aplikace a nutí je načíst poškozenou DLL, která falšuje legitimní soubor. Aplikace, které hackeři pozorovali jako zneužité, jsou Microsoft Word 2007, skener McAffee, Microsoft Defender a nástroj Sysinternals DebugView.

Aby skryli své skutečné úmysly, provedli hackeři Bismuth na kompromitovaných strojích náklad pro těžbu kryptoměn Monero. I když těžaři nebyli schopni vygenerovat tuny peněz, posloužili svému účelu v odvrácení pozornosti od činností skupiny shromažďování dat.

Bismut studuje své cíle

Jakmile jsou hackeři Bismuth uvnitř vybraného stroje, dají si čas, než zaútočí. Skupina údajně číhá v napadené síti asi měsíc a hledá a identifikuje nejužitečnější počítače, do kterých se má šířit. Během tohoto období shromáždil aktér hrozby různá data, včetně podrobností o doméně a místním správci, informací o zařízení a uživatelských oprávnění dostupných v místních systémech.

Aktivita uvnitř kompromitované sítě prošla několika fázemi, počínaje pokusy shromáždit přihlašovací údaje z databází Security Account Manager (SAM) a také informace o skupině domény a uživateli. Po počáteční sklizni dat se aktér hrozby pokusí využít Windows Management Instrumentation (WMI) k připojení k dalším zařízením. Posledním krokem procesu je, že hackeři instalují maják CobaltStrike prostřednictvím načítání z DLL.