بیسموت APT
یک گروه بلندمدت تهدید مداوم پیشرفته (APT) به نام بیسموت مشاهده شده است که اخیراً با استقرار یک محموله استخراج کننده رمزنگاری به اهداف خود تلاش می کند فعالیت های خود را پنهان کند. در چشمانداز infosec، عملیات استخراج رمزنگاری بهعنوان مسائل غیر بحرانی در نظر گرفته میشود و معمولاً در مقایسه با موارد جاسوسی سایبری یا استقرار باجافزار، واکنش آرامتری را به دنبال دارد.
تخصص اصلی بیسموت انجام کمپین های جمع آوری داده ها و حملات جاسوسی بوده است. این گروه حداقل از سال 2012 فعال بوده است، و در طی آن دوره، ابزارها، تکنیک ها و رویه های آنها در پیچیدگی و دامنه به طور پیوسته در حال تکامل بوده است. زرادخانه این گروه متشکل از بدافزارهای سفارشی ساخته شده با ابزارهای منبع باز است. قربانیان آنها از مجموعه وسیعی از بخشهای صنعتی، از جمله نهادهای بینالمللی، شرکتهای ارائهدهنده خدمات مالی، نهادها و سازمانهای دولتی و همچنین مؤسسات آموزشی میآیند. با این حال، اهداف ترجیحی آنها همواره سازمان های حقوق بشری و مدنی بوده است.
بیسموت از Crypto-Maining به عنوان یک طعمه استفاده می کند
در کمپین اخیر خود، این گروه اهداف خصوصی و دولتی واقع در فرانسه و ویتنام را به خطر انداخت. این عملیات به دلیل استقرار یک تهدید بدافزار خاص به نام KerrDown به Bismuth نسبت داده شد که منحصراً به عنوان بخشی از حملات آن شناسایی شده است.
بیسموت برای به دست آوردن جای پایی در داخل هدف خود، ایمیلهای فیشینگ نیزهای با جزییات بالا برای کارکنان خاصی در سازمان ایجاد کرد. هکرها قبل از راهاندازی ایمیلهای خراب، دادههای مختلفی را درباره افراد انتخابشده جمعآوری کردند. در برخی موارد، هکرها حتی با قربانیان خود ارتباط برقرار کردند تا اعتماد ایجاد کنند و داستانی بسیار باورپذیرتر ایجاد کنند. در مراحل اولیه حمله، بیسموت از تکنیکی به نام بارگذاری جانبی DLL استفاده کرد که هکرها از برنامههای قدیمیتر سوء استفاده کرده و آنها را مجبور میکنند تا یک DLL خراب را بارگذاری کنند که یک فایل قانونی را جعل میکند. برنامه های کاربردی مشاهده شده به عنوان مورد سوء استفاده هکرها عبارتند از Microsoft Word 2007، اسکنر McAffee، Microsoft Defender و ابزار Sysinternals DebugView.
هکرهای بیسموت برای پنهان کردن مقاصد واقعی خود، یک محموله استخراج رمزنگاری Monero را روی ماشینهای در معرض خطر اجرا کردند. در حالی که ماینرها نمیتوانستند پول زیادی تولید کنند، هدف خود را در دور کردن توجه از فعالیتهای جمعآوری دادههای گروه انجام دادند.
بیسموت اهداف خود را مطالعه می کند
هکرهای بیسموت پس از ورود به دستگاه انتخاب شده، قبل از حمله وقت خود را صرف می کنند. گزارش شده است که این گروه حدود یک ماه در داخل شبکه آسیبدیده در کمین هستند و مفیدترین رایانهها را برای گسترش یافتن و شناسایی میکنند. در این دوره، عامل تهدید دادههای مختلفی از جمله جزئیات دامنه و مدیر محلی، اطلاعات دستگاه و امتیازات کاربر موجود در سیستمهای محلی را جمعآوری کرد.
فعالیت در داخل شبکه آسیبدیده طی چندین مرحله انجام شد که با تلاش برای جمعآوری اعتبار از پایگاههای داده مدیریت حساب امنیتی (SAM) و همچنین اطلاعات مربوط به گروه دامنه و کاربر آغاز شد. پس از جمع آوری داده های اولیه، عامل تهدید سعی می کند از ابزار مدیریت ویندوز (WMI) برای اتصال به دستگاه های اضافی استفاده کند. در مرحله آخر فرآیند، هکرها یک چراغ CobaltStrike را از طریق بارگذاری جانبی DLL نصب می کنند.