Bismuth APT
Μια μακροχρόνια ομάδα Advanced Persistent Threat (APT) που ονομάζεται Bismuth έχει παρατηρηθεί να προσπαθεί να κρύψει τις δραστηριότητές της πρόσφατα, αναπτύσσοντας ένα ωφέλιμο φορτίο crypto-miner στους στόχους τους. Στο τοπίο του infosec, οι λειτουργίες εξόρυξης κρυπτονομισμάτων θεωρούνται ως μη κρίσιμα ζητήματα και συνήθως προκαλούν μια πιο συγκρατημένη απάντηση σε σύγκριση με περιπτώσεις κυβερνοκατασκοπείας ή ανάπτυξης ransomware.
Η κύρια εξειδίκευση του Βισμούθ ήταν η διεξαγωγή εκστρατειών συλλογής δεδομένων και κατασκοπευτικών επιθέσεων. Η ομάδα λειτουργεί τουλάχιστον από το 2012 και κατά τη διάρκεια αυτής της περιόδου, τα εργαλεία, οι τεχνικές και οι διαδικασίες της εξελίσσονται σταθερά τόσο σε πολυπλοκότητα όσο και σε εύρος. Το οπλοστάσιο της ομάδας αποτελείται από προσαρμοσμένο κακόβουλο λογισμικό σε συνδυασμό με εργαλεία ανοιχτού κώδικα. Τα θύματά τους προέρχονται από ένα ευρύ φάσμα βιομηχανικών τομέων, συμπεριλαμβανομένων διεθνών οντοτήτων, εταιρειών που προσφέρουν χρηματοοικονομικές υπηρεσίες, κυβερνητικών φορέων και φορέων, καθώς και εκπαιδευτικών ιδρυμάτων. Οι προτιμώμενοι στόχοι τους, ωστόσο, ήταν διαρκώς οργανώσεις ανθρωπίνων δικαιωμάτων και πολιτικών δικαιωμάτων.
Το Βισμούθιο χρησιμοποιεί την Crypto-Mining ως δόλωμα
Στην πιο πρόσφατη εκστρατεία τους, η ομάδα παραβίασε ιδιωτικούς και κυβερνητικούς στόχους που βρίσκονται στη Γαλλία και το Βιετνάμ. Η επιχείρηση αποδόθηκε στο Bismuth λόγω της ανάπτυξης μιας συγκεκριμένης απειλής κακόβουλου λογισμικού που ονομάζεται KerrDown, η οποία έχει εντοπιστεί αποκλειστικά ως μέρος των επιθέσεων της.
Για να αποκτήσει θέση εντός του στόχου της, η Bismuth δημιούργησε εξαιρετικά λεπτομερή μηνύματα ηλεκτρονικού ψαρέματος που απευθύνονταν σε συγκεκριμένους υπαλλήλους εντός των οργανισμών. Οι χάκερ συγκέντρωσαν διάφορα δεδομένα σχετικά με τα επιλεγμένα άτομα πριν ξεκινήσουν κατεστραμμένα email. Σε ορισμένες περιπτώσεις, οι χάκερ δημιούργησαν ακόμη και επικοινωνία με τα θύματά τους για να οικοδομήσουν εμπιστοσύνη και να δημιουργήσουν μια πολύ πιο πιστευτή ιστορία. Στα αρχικά στάδια της επίθεσης, ο Bismuth χρησιμοποίησε μια τεχνική γνωστή ως DLL side-loading, η οποία βλέπει τους χάκερ να εκμεταλλεύονται παλαιότερες εφαρμογές και να τους αναγκάζουν να φορτώσουν ένα κατεστραμμένο DLL που πλαστογραφεί ένα νόμιμο αρχείο. Οι εφαρμογές που παρατηρείται ως κατάχρηση από τους χάκερ είναι το Microsoft Word 2007, ο σαρωτής McAffee, το Microsoft Defender και το εργαλείο Sysinternals DebugView.
Για να κρύψουν τις πραγματικές τους προθέσεις, οι χάκερ του Βισμούθου εκτέλεσαν ένα ωφέλιμο φορτίο εξόρυξης κρυπτονομισμάτων Monero στα παραβιασμένα μηχανήματα. Ενώ οι ανθρακωρύχοι δεν μπόρεσαν να δημιουργήσουν έναν τόνο χρημάτων, εξυπηρέτησαν τον σκοπό τους να αποτρέψουν την προσοχή από τις δραστηριότητες συλλογής δεδομένων της ομάδας.
Το Βισμούθιο μελετά τους στόχους του
Μόλις μπουν στο επιλεγμένο μηχάνημα, οι χάκερ του Βισμούθιου αφιερώνουν το χρόνο τους πριν χτυπήσουν. Η ομάδα αναφέρεται ότι καραδοκεί για περίπου ένα μήνα μέσα στο παραβιασμένο δίκτυο, αναζητώντας και εντοπίζοντας τους πιο χρήσιμους υπολογιστές για εξάπλωση. Κατά τη διάρκεια αυτής της περιόδου, ο παράγοντας απειλών συνέλεξε διάφορα δεδομένα, συμπεριλαμβανομένων των στοιχείων τομέα και τοπικού διαχειριστή, πληροφορίες συσκευής και δικαιώματα χρήστη που είναι διαθέσιμα σε τοπικά συστήματα.
Η δραστηριότητα εντός του παραβιασμένου δικτύου κινήθηκε σε διάφορα στάδια, ξεκινώντας με προσπάθειες συλλογής διαπιστευτηρίων από βάσεις δεδομένων Security Account Manager (SAM), καθώς και πληροφοριών σχετικά με την ομάδα τομέα και τον χρήστη. Μετά την αρχική συλλογή δεδομένων, ο παράγοντας απειλής προσπαθεί να αξιοποιήσει το Windows Management Instrumentation (WMI) για να συνδεθεί σε πρόσθετες συσκευές. Το τελευταίο βήμα της διαδικασίας βλέπει τους χάκερ να εγκαθιστούν ένα Beacon CobaltStrike μέσω πλευρικής φόρτωσης DLL.
