بیسموت APT

یک گروه بلندمدت تهدید مداوم پیشرفته (APT) به نام بیسموت مشاهده شده است که اخیراً با استقرار یک محموله استخراج کننده رمزنگاری به اهداف خود تلاش می کند فعالیت های خود را پنهان کند. در چشم‌انداز infosec، عملیات استخراج رمزنگاری به‌عنوان مسائل غیر بحرانی در نظر گرفته می‌شود و معمولاً در مقایسه با موارد جاسوسی سایبری یا استقرار باج‌افزار، واکنش آرام‌تری را به دنبال دارد.

تخصص اصلی بیسموت انجام کمپین های جمع آوری داده ها و حملات جاسوسی بوده است. این گروه حداقل از سال 2012 فعال بوده است، و در طی آن دوره، ابزارها، تکنیک ها و رویه های آنها در پیچیدگی و دامنه به طور پیوسته در حال تکامل بوده است. زرادخانه این گروه متشکل از بدافزارهای سفارشی ساخته شده با ابزارهای منبع باز است. قربانیان آنها از مجموعه وسیعی از بخش‌های صنعتی، از جمله نهادهای بین‌المللی، شرکت‌های ارائه‌دهنده خدمات مالی، نهادها و سازمان‌های دولتی و همچنین مؤسسات آموزشی می‌آیند. با این حال، اهداف ترجیحی آنها همواره سازمان های حقوق بشری و مدنی بوده است.

بیسموت از Crypto-Maining به عنوان یک طعمه استفاده می کند

در کمپین اخیر خود، این گروه اهداف خصوصی و دولتی واقع در فرانسه و ویتنام را به خطر انداخت. این عملیات به دلیل استقرار یک تهدید بدافزار خاص به نام KerrDown به Bismuth نسبت داده شد که منحصراً به عنوان بخشی از حملات آن شناسایی شده است.

بیسموت برای به دست آوردن جای پایی در داخل هدف خود، ایمیل‌های فیشینگ نیزه‌ای با جزییات بالا برای کارکنان خاصی در سازمان ایجاد کرد. هکرها قبل از راه‌اندازی ایمیل‌های خراب، داده‌های مختلفی را درباره افراد انتخاب‌شده جمع‌آوری کردند. در برخی موارد، هکرها حتی با قربانیان خود ارتباط برقرار کردند تا اعتماد ایجاد کنند و داستانی بسیار باورپذیرتر ایجاد کنند. در مراحل اولیه حمله، بیسموت از تکنیکی به نام بارگذاری جانبی DLL استفاده کرد که هکرها از برنامه‌های قدیمی‌تر سوء استفاده کرده و آنها را مجبور می‌کنند تا یک DLL خراب را بارگذاری کنند که یک فایل قانونی را جعل می‌کند. برنامه های کاربردی مشاهده شده به عنوان مورد سوء استفاده هکرها عبارتند از Microsoft Word 2007، اسکنر McAffee، Microsoft Defender و ابزار Sysinternals DebugView.

هکرهای بیسموت برای پنهان کردن مقاصد واقعی خود، یک محموله استخراج رمزنگاری Monero را روی ماشین‌های در معرض خطر اجرا کردند. در حالی که ماینرها نمی‌توانستند پول زیادی تولید کنند، هدف خود را در دور کردن توجه از فعالیت‌های جمع‌آوری داده‌های گروه انجام دادند.

بیسموت اهداف خود را مطالعه می کند

هکرهای بیسموت پس از ورود به دستگاه انتخاب شده، قبل از حمله وقت خود را صرف می کنند. گزارش شده است که این گروه حدود یک ماه در داخل شبکه آسیب‌دیده در کمین هستند و مفیدترین رایانه‌ها را برای گسترش یافتن و شناسایی می‌کنند. در این دوره، عامل تهدید داده‌های مختلفی از جمله جزئیات دامنه و مدیر محلی، اطلاعات دستگاه و امتیازات کاربر موجود در سیستم‌های محلی را جمع‌آوری کرد.

فعالیت در داخل شبکه آسیب‌دیده طی چندین مرحله انجام شد که با تلاش برای جمع‌آوری اعتبار از پایگاه‌های داده مدیریت حساب امنیتی (SAM) و همچنین اطلاعات مربوط به گروه دامنه و کاربر آغاز شد. پس از جمع آوری داده های اولیه، عامل تهدید سعی می کند از ابزار مدیریت ویندوز (WMI) برای اتصال به دستگاه های اضافی استفاده کند. در مرحله آخر فرآیند، هکرها یک چراغ CobaltStrike را از طریق بارگذاری جانبی DLL نصب می کنند.