רישיונות ריבוי מכשירים (הנחות נפח)
Threat Database Advanced Persistent Threat (APT) ביסמוט APT

ביסמוט APT

עד GoldSparrow ב-Advanced Persistent Threat (APT)
לתרגם ל:
עברית

קבוצה ארוכת שנים מתמשכת מתמשכת (Advanced Persistent Threat) בשם Bismuth נצפתה מנסה להסתיר את פעילותה לאחרונה על ידי פריסת מטען קריפטו-כרה למטרותיהם. בנוף ה-infosec, פעולות כריית קריפטו נחשבות לנושאים לא קריטיים ובדרך כלל מעוררות תגובה מאופקת יותר בהשוואה למקרים של ריגול סייבר או פריסת תוכנות כופר.

ההתמחות העיקרית של ביסמוט הייתה ניהול קמפיינים של איסוף נתונים וריגול. הקבוצה מתפקדת לפחות משנת 2012, ובמהלך התקופה, הכלים, הטכניקות והנהלים שלה התפתחו הן במורכבות והן בטווח בהתמדה. הארסנל של הקבוצה מורכב מתוכנות זדוניות מותאמות אישית בשילוב עם כלים בקוד פתוח. קורבנותיהם מגיעים ממגוון רחב של מגזרי תעשייה, לרבות גופים בינלאומיים, חברות המציעות שירותים פיננסיים, גופים וסוכנויות ממשלתיות, כמו גם מוסדות חינוך. עם זאת, היעדים המועדפים עליהם היו ארגוני זכויות אדם ואזרח.

ביסמוט משתמש בכריית קריפטו בתור פיתוי

בקמפיין האחרון שלהם, הקבוצה התפשרה על יעדים פרטיים וממשלתיים הממוקמים בצרפת ובווייטנאם. הפעולה יוחסה ל-Bismuth עקב פריסת איום תוכנות זדוניות מסוים בשם KerrDown, שזוהה כחלק מהתקפותיו באופן בלעדי.

כדי להשיג דריסת רגל בתוך היעד שלו, ביסמוט יצר הודעות דוא"ל דיוג חנית מפורטות ביותר שהופנו לעובדים ספציפיים בתוך הארגונים. ההאקרים אספו נתונים שונים על האנשים שנבחרו לפני שיגורו מיילים פגומים. במקרים מסוימים, ההאקרים אפילו יצרו תקשורת עם הקורבנות שלהם כדי לבנות אמון וליצור סיפור הרבה יותר אמין. בשלבים הראשונים של המתקפה, ביסמוט השתמש בטכניקה המכונה DLL side-loading, הרואה את ההאקרים מנצלים יישומים ישנים יותר ומאלצים אותם לטעון DLL פגום שמזייף קובץ לגיטימי. יישומים שנצפו כמנוצלים לרעה על ידי ההאקרים הם Microsoft Word 2007, McAffee סורק, Microsoft Defender וכלי Sysinternals DebugView.

כדי להסתיר את כוונותיהם האמיתיות, האקרים ביסמוט ביצעו מטען כריית קריפטו של Monero על המכונות שנפרצו. בעוד שהכורים לא הצליחו לייצר המון כסף, הם שימשו את מטרתם להסיט את תשומת הלב מפעילויות איסוף הנתונים של הקבוצה.

ביסמוט חוקר את מטרותיו

ברגע שנכנסים למכונה שנבחרה, ההאקרים של Bismuth לוקחים את הזמן שלהם לפני שהם מכים. הקבוצה מדווחת כאורבת במשך כחודש בתוך הרשת שנפגעה, מחפשת ומזהה את המחשבים השימושיים ביותר להתפשט אליהם. במהלך תקופה זו, שחקן האיום אסף נתונים שונים, כולל פרטי דומיין ומנהל מקומי, מידע על המכשיר והרשאות משתמש הזמינות במערכות מקומיות.

הפעילות בתוך הרשת שנפרצה עברה מספר שלבים, החל בניסיונות לאסוף אישורים ממאגרי מידע של מנהל חשבונות אבטחה (SAM), כמו גם מידע על קבוצת הדומיין והמשתמש. לאחר קצירת הנתונים הראשונית, שחקן האיום מנסה למנף את Windows Management Instrumentation (WMI) כדי להתחבר למכשירים נוספים. השלב האחרון של התהליך רואה את ההאקרים מתקינים משואה CobaltStrike באמצעות טעינת צד של DLL.

מגמות

הונאת דוא"ל 'YouPorn'

Spam
לאחר בדיקה יסודית של הודעות האימייל של 'YouPorn', מומחי אבטחת סייבר אישרו את אופיים המרמה. הודעות דוא"ל אלו הן חלק מגרסאות ספאם שונות, כולן דומות לטקטיקות סקסטורציה. החוט המשותף בין הודעות האימייל המטעות הללו הוא קביעה מפוברקת לפיה הנמען היה מעורב בחומר בעל אופי מיני מפורש שפורסם לאחרונה באתר YouPorn. האימיילים מציגים אז אפשרויות תשלום מרובות להסרת התוכן האמור ולמניעת העלאות עתידיות....

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
14,963
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...