Bismuth APT

बिस्मथ नामक एक लंबे समय से चल रहे एडवांस्ड पर्सिस्टेंट थ्रेट (APT) समूह को हाल ही में क्रिप्टो-माइनर पेलोड को अपने लक्ष्य पर तैनात करके अपनी गतिविधियों को छिपाने की कोशिश करते हुए देखा गया है। इन्फोसेक परिदृश्य में, क्रिप्टो-खनन कार्यों को गैर-महत्वपूर्ण मुद्दों के रूप में माना जाता है और आमतौर पर साइबर-जासूसी या रैंसमवेयर की तैनाती के मामलों की तुलना में अधिक कमजोर प्रतिक्रिया प्राप्त होती है।

बिस्मथ की मुख्य विशेषज्ञता डेटा-कटाई और जासूसी हमले अभियानों का संचालन करना रहा है। समूह कम से कम 2012 से कार्य कर रहा है, और उस अवधि के दौरान, उनके उपकरण, तकनीक और प्रक्रियाएं जटिलता और सीमा दोनों में लगातार विकसित हो रही हैं। समूह के शस्त्रागार में ओपन-सोर्स टूल के साथ संयुक्त कस्टम-निर्मित मैलवेयर होते हैं। उनके शिकार अंतरराष्ट्रीय संस्थाओं, वित्तीय सेवाओं की पेशकश करने वाली कंपनियों, सरकारी संस्थाओं और एजेंसियों के साथ-साथ शैक्षणिक संस्थानों सहित उद्योग क्षेत्रों के एक विस्तृत समूह से आते हैं। हालांकि, उनके पसंदीदा लक्ष्य स्थायी रूप से मानव और नागरिक अधिकार संगठन रहे हैं।

बिस्मथ क्रिप्टो-माइनिंग को एक प्रलोभन के रूप में उपयोग करता है

अपने हाल के अभियान में, समूह ने फ़्रांस और वियतनाम में स्थित निजी और सरकारी लक्ष्यों से समझौता किया। केरडाउन नामक एक विशेष मैलवेयर खतरे की तैनाती के कारण बिस्मथ को ऑपरेशन के लिए जिम्मेदार ठहराया गया था, जिसे विशेष रूप से इसके हमलों के हिस्से के रूप में पाया गया है।

अपने लक्ष्य के अंदर एक पैर जमाने के लिए, बिस्मथ ने संगठनों के भीतर विशिष्ट कर्मचारियों को निर्देशित अत्यधिक विस्तृत स्पीयर-फ़िशिंग ईमेल तैयार किए। भ्रष्ट ईमेल लॉन्च करने से पहले हैकर्स ने चयनित व्यक्तियों के बारे में विभिन्न डेटा एकत्र किए। कुछ मामलों में, हैकर्स ने विश्वास बनाने और कहीं अधिक विश्वसनीय कहानी बनाने के लिए अपने पीड़ितों के साथ संचार भी स्थापित किया। हमले के शुरुआती चरणों में, बिस्मथ ने डीएलएल साइड-लोडिंग के रूप में जानी जाने वाली एक तकनीक को नियोजित किया, जो हैकर्स को पुराने अनुप्रयोगों का शोषण करते हुए देखता है और उन्हें एक भ्रष्ट डीएलएल लोड करने के लिए मजबूर करता है जो एक वैध फ़ाइल को धोखा दे रहा है। Microsoft Word 2007, McAffee स्कैनर, Microsoft Defender और Sysinternals DebugView टूल को हैकर्स द्वारा दुर्व्यवहार के रूप में देखा गया है।

अपने असली इरादों को छिपाने के लिए, बिस्मथ हैकर्स ने समझौता मशीनों पर एक मोनरो क्रिप्टो-माइनिंग पेलोड को अंजाम दिया। जबकि खनिक एक टन धन उत्पन्न करने में सक्षम नहीं थे, उन्होंने समूह की डेटा-कटाई गतिविधियों से ध्यान हटाने में अपना उद्देश्य पूरा किया।

बिस्मथ अपने लक्ष्यों का अध्ययन करता है

एक बार चयनित मशीन के अंदर, बिस्मथ हैकर्स स्ट्राइक करने से पहले अपना समय लेते हैं। इस समूह के बारे में बताया गया है कि यह लगभग एक महीने तक समझौता किए गए नेटवर्क के अंदर छिपा रहा, और सबसे उपयोगी कंप्यूटरों की खोज और पहचान की गई, जिन्हें फैलाने के लिए। इस अवधि के दौरान, थ्रेट ऐक्टर ने विभिन्न डेटा एकत्र किया, जिसमें डोमेन और स्थानीय व्यवस्थापक विवरण, डिवाइस की जानकारी और स्थानीय सिस्टम पर उपलब्ध उपयोगकर्ता विशेषाधिकार शामिल हैं।

सुरक्षा खाता प्रबंधक (एसएएम) डेटाबेस से क्रेडेंशियल एकत्र करने के प्रयासों के साथ-साथ डोमेन समूह और उपयोगकर्ता के बारे में जानकारी एकत्र करने के प्रयासों के साथ, समझौता किए गए नेटवर्क के अंदर की गतिविधि कई चरणों में चली गई। प्रारंभिक डेटा कटाई के बाद, खतरा अभिनेता अतिरिक्त उपकरणों से कनेक्ट करने के लिए विंडोज मैनेजमेंट इंस्ट्रुमेंटेशन (डब्लूएमआई) का लाभ उठाने का प्रयास करता है। प्रक्रिया का अंतिम चरण हैकर्स को डीएलएल साइड-लोडिंग के माध्यम से कोबाल्टस्ट्राइक बीकन स्थापित करते हुए देखता है।