ביסמוט APT

ביסמוט APT

קבוצה ארוכת שנים מתמשכת מתמשכת (Advanced Persistent Threat) בשם Bismuth נצפתה מנסה להסתיר את פעילותה לאחרונה על ידי פריסת מטען קריפטו-כרה למטרותיהם. בנוף ה-infosec, פעולות כריית קריפטו נחשבות לנושאים לא קריטיים ובדרך כלל מעוררות תגובה מאופקת יותר בהשוואה למקרים של ריגול סייבר או פריסת תוכנות כופר.

ההתמחות העיקרית של ביסמוט הייתה ניהול קמפיינים של איסוף נתונים וריגול. הקבוצה מתפקדת לפחות משנת 2012, ובמהלך התקופה, הכלים, הטכניקות והנהלים שלה התפתחו הן במורכבות והן בטווח בהתמדה. הארסנל של הקבוצה מורכב מתוכנות זדוניות מותאמות אישית בשילוב עם כלים בקוד פתוח. קורבנותיהם מגיעים ממגוון רחב של מגזרי תעשייה, לרבות גופים בינלאומיים, חברות המציעות שירותים פיננסיים, גופים וסוכנויות ממשלתיות, כמו גם מוסדות חינוך. עם זאת, היעדים המועדפים עליהם היו ארגוני זכויות אדם ואזרח.

ביסמוט משתמש בכריית קריפטו בתור פיתוי

בקמפיין האחרון שלהם, הקבוצה התפשרה על יעדים פרטיים וממשלתיים הממוקמים בצרפת ובווייטנאם. הפעולה יוחסה ל-Bismuth עקב פריסת איום תוכנות זדוניות מסוים בשם KerrDown, שזוהה כחלק מהתקפותיו באופן בלעדי.

כדי להשיג דריסת רגל בתוך היעד שלו, ביסמוט יצר הודעות דוא"ל דיוג חנית מפורטות ביותר שהופנו לעובדים ספציפיים בתוך הארגונים. ההאקרים אספו נתונים שונים על האנשים שנבחרו לפני שיגורו מיילים פגומים. במקרים מסוימים, ההאקרים אפילו יצרו תקשורת עם הקורבנות שלהם כדי לבנות אמון וליצור סיפור הרבה יותר אמין. בשלבים הראשונים של המתקפה, ביסמוט השתמש בטכניקה המכונה DLL side-loading, הרואה את ההאקרים מנצלים יישומים ישנים יותר ומאלצים אותם לטעון DLL פגום שמזייף קובץ לגיטימי. יישומים שנצפו כמנוצלים לרעה על ידי ההאקרים הם Microsoft Word 2007, McAffee סורק, Microsoft Defender וכלי Sysinternals DebugView.

כדי להסתיר את כוונותיהם האמיתיות, האקרים ביסמוט ביצעו מטען כריית קריפטו של Monero על המכונות שנפרצו. בעוד שהכורים לא הצליחו לייצר המון כסף, הם שימשו את מטרתם להסיט את תשומת הלב מפעילויות איסוף הנתונים של הקבוצה.

ביסמוט חוקר את מטרותיו

ברגע שנכנסים למכונה שנבחרה, ההאקרים של Bismuth לוקחים את הזמן שלהם לפני שהם מכים. הקבוצה מדווחת כאורבת במשך כחודש בתוך הרשת שנפגעה, מחפשת ומזהה את המחשבים השימושיים ביותר להתפשט אליהם. במהלך תקופה זו, שחקן האיום אסף נתונים שונים, כולל פרטי דומיין ומנהל מקומי, מידע על המכשיר והרשאות משתמש הזמינות במערכות מקומיות.

הפעילות בתוך הרשת שנפרצה עברה מספר שלבים, החל בניסיונות לאסוף אישורים ממאגרי מידע של מנהל חשבונות אבטחה (SAM), כמו גם מידע על קבוצת הדומיין והמשתמש. לאחר קצירת הנתונים הראשונית, שחקן האיום מנסה למנף את Windows Management Instrumentation (WMI) כדי להתחבר למכשירים נוספים. השלב האחרון של התהליך רואה את ההאקרים מתקינים משואה CobaltStrike באמצעות טעינת צד של DLL.

מגמות

טוען...