Bismuth APT

En langvarig Advanced Persistent Threat (APT) -gruppe kaldet Bismuth er blevet observeret forsøger at skjule sine aktiviteter for nylig ved at anvende en crypto-minearbejdsbelastning til deres mål. I infosec-landskabet betragtes krypto-minedrift som ikke-kritiske problemer og fremkalder normalt et mere dæmpet svar sammenlignet med tilfælde af cyberspionage eller implementering af ransomware.

Bismuths vigtigste specialisering har været gennemførelse af datahøstning og spionageangrebskampagner. Gruppen har været funktionel siden mindst 2012, og i løbet af denne periode har deres værktøjer, teknikker og procedurer udviklet sig i både kompleksitet og rækkevidde støt. Gruppens arsenal består af skræddersyet malware kombineret med open source-værktøjer. Deres ofre kommer fra en lang række industrisektorer, herunder internationale enheder, virksomheder, der tilbyder finansielle tjenester, offentlige enheder og agenturer samt uddannelsesinstitutioner. Deres foretrukne mål har dog vedvarende været menneskerettigheds- og borgerrettighedsorganisationer.

Bismuth bruger Crypto-Mining som en lokkefugle

I deres nyere kampagne kompromitterede gruppen private og regeringsmål i Frankrig og Vietnam. Operationen blev tilskrevet Bismuth på grund af implementeringen af en bestemt malware-trussel ved navn KerrDown, som udelukkende er blevet opdaget som en del af dens angreb.

For at få fodfæste inden for sit mål udformede Bismuth meget detaljerede spear-phishing-e-mails rettet mod bestemte medarbejdere i organisationerne. Hackerne samlede forskellige data om de valgte personer, inden de lancerede korrupte e-mails. I nogle tilfælde etablerede hackerne endda kommunikation med deres ofre for at opbygge tillid og skabe en langt mere troværdig historie. I de indledende faser af angrebet anvendte Bismuth en teknik kendt som DLL side-loading, som ser hackere udnytte ældre applikationer og tvinger dem til at indlæse en beskadiget DLL, der spoofer en legitim fil. Programmer, der observeres som misbrugt af hackerne, er Microsoft Word 2007, McAffee-scanner, Microsoft Defender og Sysinternals DebugView-værktøjet.

For at skjule deres sande intentioner udførte Bismuth-hackerne en Monero crypto-mining-nyttelast på de kompromitterede maskiner. Mens minearbejdere ikke var i stand til at generere masser af penge, tjente de deres formål med at afværge opmærksomheden væk fra gruppens dataindsamlingsaktiviteter.

Bismuth studerer sine mål

Når de er inde i den valgte maskine, tager Bismuth-hackerne deres tid, inden de rammer. Gruppen rapporteres at lure i omkring en måned inde i det kompromitterede netværk og søge efter og identificere de mest nyttige computere at sprede sig til. I denne periode indsamlede trusselsaktøren forskellige data, herunder domæne- og lokale administratoroplysninger, enhedsoplysninger og brugerrettigheder tilgængelige på lokale systemer.

Aktiviteten inde i det kompromitterede netværk bevægede sig gennem flere faser, begyndende med forsøg på at indsamle legitimationsoplysninger fra Security Account Manager (SAM) -databaser, samt information om domænegruppen og brugeren. Efter den første datahøst forsøger trusselsaktøren at udnytte Windows Management Instrumentation (WMI) til at oprette forbindelse til yderligere enheder. Det sidste trin i processen ser, at hackere installerer et CobaltStrike-fyr via DLL-sideindlæsning.