Bizmut APT

Dugotrajna skupina za naprednu trajnu prijetnju (APT) pod nazivom Bismut nedavno je primijećena kako pokušava sakriti svoje aktivnosti postavljanjem tereta kripto-rudara na svoje mete. U kontekstu infoseca, operacije kripto rudarenja smatraju se nekritičnim problemima i obično izazivaju prigušeniji odgovor u usporedbi sa slučajevima cyber-špijunaže ili primjene ransomwarea.

Bismuthova glavna specijalizacija bilo je vođenje kampanja prikupljanja podataka i špijunskih napada. Grupa je funkcionalna od najmanje 2012. godine, a tijekom tog razdoblja, njihovi alati, tehnike i postupci stalno su se razvijali u složenosti i rasponu. Arsenal grupe sastoji se od zlonamjernog softvera izrađenog po mjeri u kombinaciji s alatima otvorenog koda. Njihove žrtve dolaze iz širokog niza industrijskih sektora, uključujući međunarodne subjekte, tvrtke koje nude financijske usluge, vladina tijela i agencije, kao i obrazovne institucije. Njihove omiljene mete, međutim, trajno su bile organizacije za ljudska prava i građanska prava.

Bizmut koristi kripto rudarenje kao mamac

U svojoj novijoj kampanji, grupa je ugrozila privatne i državne mete u Francuskoj i Vijetnamu. Operacija je pripisana Bismuthu zbog implementacije određene prijetnje zlonamjernog softvera pod nazivom KerrDown, koja je otkrivena isključivo kao dio njezinih napada.

Kako bi se učvrstio unutar svoje mete, Bismuth je izradio vrlo detaljne e-poruke za krađu identiteta usmjerene određenim zaposlenicima unutar organizacija. Hakeri su prikupili različite podatke o odabranim osobama prije nego što su pokrenuli oštećene e-poruke. U nekim slučajevima, hakeri su čak uspostavili komunikaciju sa svojim žrtvama kako bi izgradili povjerenje i stvorili daleko uvjerljiviju priču. U početnim fazama napada, Bismuth je koristio tehniku poznatu kao DLL side-loading, koja vidi da hakeri iskorištavaju starije aplikacije i prisiljavaju ih da učitaju oštećeni DLL koji lažira legitimnu datoteku. Aplikacije za koje su primijetili da ih hakeri zlorabe su Microsoft Word 2007, McAffee skener, Microsoft Defender i alat Sysinternals DebugView.

Kako bi sakrili svoje prave namjere, hakeri Bismuta izvršili su korisni teret za kripto rudarenje Monero na kompromitiranim strojevima. Iako rudari nisu bili u mogućnosti generirati tonu novca, služili su svojoj svrsi u odvraćanju pozornosti od skupnih aktivnosti prikupljanja podataka.

Bizmut proučava svoje mete

Nakon što uđu u odabrani stroj, Bizmut hakeri odmaraju prije nego što napadnu. Prijavljeno je da grupa vreba oko mjesec dana unutar ugrožene mreže, tražeći i identificirajući najkorisnija računala na koja bi se mogla proširiti. Tijekom tog razdoblja, akter prijetnje prikupio je različite podatke, uključujući pojedinosti o domeni i lokalnom administratoru, podatke o uređaju i korisničke privilegije dostupne na lokalnim sustavima.

Aktivnost unutar ugrožene mreže prolazila je kroz nekoliko faza, počevši od pokušaja prikupljanja vjerodajnica iz baza podataka Security Account Manager (SAM), kao i informacija o grupi domene i korisniku. Nakon početnog prikupljanja podataka, akter prijetnje pokušava iskoristiti Windows Management Instrumentation (WMI) za povezivanje s dodatnim uređajima. U posljednjem koraku procesa hakeri instaliraju CobaltStrike beacon putem DLL bočnog učitavanja.