Vismut APT

On täheldatud, et pikka aega tegutsenud Advanced Persistent Threat (APT) rühmitus nimega Bismuth üritab hiljuti oma tegevust varjata, rakendades sihtmärkidele krüptokaevandaja kasulikku koormust. Infoseci maastikul peetakse krüptokaevandamise toiminguid mittekriitilisteks probleemideks ja need tekitavad tavaliselt tagasihoidlikuma vastuse võrreldes küberspionaaži või lunavara kasutuselevõtuga.

Bismuthi peamine spetsialiseerumine on olnud andmete kogumise ja spionaažirünnakute kampaaniate läbiviimine. Grupp on tegutsenud vähemalt 2012. aastast ning selle aja jooksul on nende tööriistad, tehnikad ja protseduurid pidevalt arenenud nii keerukuse kui ka ulatuse poolest. Grupi arsenal koosneb eritellimusel valmistatud pahavarast, mis on kombineeritud avatud lähtekoodiga tööriistadega. Nende ohvrid on pärit paljudest tööstussektoritest, sealhulgas rahvusvahelistest üksustest, finantsteenuseid pakkuvatest ettevõtetest, valitsusasutustest ja -asutustest ning haridusasutustest. Nende eelistatud sihtmärgid on aga püsivalt olnud inim- ja kodanikuõiguste organisatsioonid.

Vismut kasutab peibutusvahendina krüptokaevandamist

Oma hiljutises kampaanias seadis rühm ohtu Prantsusmaal ja Vietnamis asuvad era- ja valitsuse sihtmärgid. Operatsioon omistati Bismuthile konkreetse pahavaraohu KerrDown juurutamise tõttu, mis on tuvastatud ainult selle rünnakute osana.

Selleks, et saada oma sihtrühmas jalad alla, koostas Bismuth väga üksikasjalikud andmepüügimeilid, mis olid suunatud organisatsioonide konkreetsetele töötajatele. Häkkerid kogusid enne rikutud meilide käivitamist valitud isikute kohta erinevaid andmeid. Mõnel juhul lõid häkkerid isegi oma ohvritega suhtlemist, et luua usaldust ja luua palju usutavam lugu. Rünnaku algstaadiumis kasutas Bismuth tehnikat, mida tuntakse DLL-i külglaadimise nime all, mis näeb ette, et häkkerid kasutavad ära vanemaid rakendusi ja sunnivad neid laadima rikutud DLL-i, mis võltsib seaduslikku faili. Häkkerite poolt kuritarvitatud rakendused on Microsoft Word 2007, McAffee skanner, Microsoft Defender ja tööriist Sysinternals DebugView.

Oma tõeliste kavatsuste varjamiseks viisid Bismuthi häkkerid ohustatud masinatele läbi Monero krüptokaevandamise kasuliku koormuse. Kuigi kaevurid ei suutnud teenida tonni raha, täitsid nad oma eesmärki, et juhtida tähelepanu kõrvale grupi andmete kogumistegevusest.

Vismut uurib selle sihtmärke

Valitud masinasse sattudes võtavad Bismuthi häkkerid aega, enne kui löövad. Rühm varitses umbes kuu aega ohustatud võrgus, otsides ja tuvastades kõige kasulikumaid arvuteid, kuhu levida. Selle perioodi jooksul kogus ohutegureid mitmesuguseid andmeid, sealhulgas domeeni ja kohaliku administraatori üksikasju, seadme teavet ja kohalikes süsteemides saadaolevaid kasutajaõigusi.

Tegevus ohustatud võrgus kulges läbi mitme etapi, alustades katsetest koguda turvakontohalduri (SAM) andmebaasidest mandaate, samuti teavet domeenirühma ja kasutaja kohta. Pärast esialgset andmete kogumist proovib ohutegija kasutada Windowsi haldusinstrumenti (WMI), et luua ühendus täiendavate seadmetega. Protsessi viimases etapis installivad häkkerid DLL-i külglaadimise kaudu CobaltStrike'i majaka.