Vismutti APT

Vismutti APT Kuvaus

Pitkään toimineen Advanced Persistent Threat (APT) -ryhmän nimeltä Bismuth on havaittu yrittäneen salata toimintaansa äskettäin ottamalla käyttöön krypto-kaivostyövoiman kohteisiinsa. Infosec-ympäristössä krypto-louhintatoimintoja pidetän ei-kriittisinä ongelmina, ja ne saavat yleensä vaimeamman vastauksen verrattuna kybervakoilutapauksiin tai kiristysohjelmien käyttöön.

Bismuthin pääerikoistuminen on ollut tiedonkeruu- ja vakoiluhyökkäyskampanjoiden toteuttaminen. Ryhmä on toiminut ainakin vuodesta 2012 lähtien, ja tuona aikana sen työkalut, tekniikat ja toimintatavat ovat kehittyneet tasaisesti sekä monimutkaisuudeltaan että laajuudeltaan. Ryhmän arsenaali koostuu räätälöidyistä haittaohjelmista yhdistettynä avoimen lähdekoodin työkaluihin. Heidän uhrinsa tulevat useilta teollisuuden aloilta, mukaan lukien kansainväliset tahot, rahoituspalveluja tarjoavat yritykset, valtion tahot ja virastot sekä oppilaitokset. Heidän suosikkikohteensa ovat kuitenkin pysyvästi olleet ihmis- ja kansalaisoikeusjärjestöt.

Vismutti käyttää kryptolouhintaa houkutusvälineenä

Uusimmassa kampanjassaan ryhmä vaaransi Ranskassa ja Vietnamissa sijaitsevat yksityiset ja valtion kohteet. Operaatio johtui Bismuthin aiheuttamasta tietyn KerrDown-nimisen haittaohjelmauhan käyttöönotosta, joka on havaittu osana sen hyökkäyksiä yksinomaan.

Saadakseen jalansijaa tavoitteessaan Bismuth laati erittäin yksityiskohtaisia keihään kalasteluviestejä, jotka oli suunnattu tietyille organisaatioiden työntekijöille. Hakkerit keräsivät erilaisia tietoja valituista henkilöistä ennen vioittuneiden sähköpostien julkaisemista. Joissakin tapauksissa hakkerit jopa aloittivat yhteydenpidon uhriensa kanssa rakentaakseen luottamusta ja luodakseen paljon uskottavamman tarinan. Hyökkäyksen alkuvaiheessa Bismuth käytti DLL-sivulatauksena tunnettua tekniikkaa, jossa hakkerit käyttävät hyväkseen vanhempia sovelluksia ja pakottavat heidät lataamaan vioittunutta DLL-tiedostoa, joka huijaa laillista tiedostoa. Hakkerit ovat käyttäneet väärin sovelluksia, jotka ovat Microsoft Word 2007, McAffee-skanneri, Microsoft Defender ja Sysinternals DebugView -työkalu.

Piilottaakseen todelliset aikeensa Bismuth-hakkerit suorittivat Moneron kryptolouhintahyötykuorman vaarantuneissa koneissa. Vaikka kaivostyöläiset eivät pystyneet tuottamaan tonnia rahaa, he palvelivat tarkoitustaan kääntämällä huomion pois ryhmän tiedonkeruutoiminnasta.

Vismutti tutkii tavoitteitaan

Kun Bismuth-hakkerit ovat saapuneet valitulle koneelle, he ottavat aikansa ennen iskemistä. Ryhmän kerrotaan piipahtavan noin kuukauden ajan vaarantuneessa verkossa etsiessään ja tunnistaneen hyödyllisimpiä tietokoneita, joille levitä. Tänä aikana uhkatekijä keräsi erilaisia tietoja, mukaan lukien verkkotunnuksen ja paikallisen järjestelmänvalvojan tiedot, laitetiedot ja paikallisissa järjestelmissä saatavilla olevat käyttäjäoikeudet.

Toiminta vaarantuneen verkon sisällä eteni useiden vaiheiden läpi, alkaen yrityksistä kerätä valtuustietoja Security Account Manager (SAM) -tietokannoista sekä tietoja toimialueryhmästä ja käyttäjästä. Ensimmäisen tiedonkeruun jälkeen uhkatekijä yrittää hyödyntää Windows Management Instrumentation (WMI) -järjestelmää muodostaakseen yhteyden lisälaitteisiin. Prosessin viimeisessä vaiheessa hakkerit asentavat CobaltStrike-majakan DLL-sivulatauksen kautta.