Bizmut APT

A Bismuth nevű, régóta működő Advanced Persistent Threat (APT) csoport megfigyelések szerint a közelmúltban megpróbálta elrejteni tevékenységét egy kripto-bányász rakomány bevetésével a célpontjaikra. Az infosec környezetben a kripto-bányászati műveleteket nem kritikus kérdésnek tekintik, és általában visszafogottabb választ váltanak ki, mint a kiberkémkedés vagy a zsarolóprogramok telepítése.

A Bismuth fő szakterülete az adatgyűjtési és kémtámadási kampányok lebonyolítása volt. A csoport legalább 2012 óta működik, és ez alatt az időszak alatt eszközeik, technikáik és eljárásaik folyamatosan fejlődtek mind összetettségükben, mind pedig tartományukban. A csoport arzenálja egyedi készítésű kártevőkből áll, nyílt forráskódú eszközökkel kombinálva. Áldozataik számos iparágból származnak, beleértve a nemzetközi szervezeteket, a pénzügyi szolgáltatásokat kínáló vállalatokat, a kormányzati szerveket és ügynökségeket, valamint az oktatási intézményeket. Előnyben részesített célpontjaik azonban tartósan az emberi és polgári jogi szervezetek voltak.

A bizmut csaliként használja a kriptobányászatot

A legutóbbi kampányukban a csoport kompromittálta a francia és vietnami magán- és kormányzati célpontokat. A műveletet a Bismuthnak tulajdonították egy bizonyos KerrDown nevű rosszindulatú fenyegetés telepítése miatt, amelyet kizárólag a támadások részeként észleltek.

Hogy megvehesse a lábát a célpontján belül, a Bismuth rendkívül részletes adathalász e-maileket készített, amelyek a szervezetek meghatározott alkalmazottainak szóltak. A hackerek különféle adatokat gyűjtöttek a kiválasztott személyekről, mielőtt sérült e-maileket indítottak volna. Egyes esetekben a hackerek még kommunikációt is létesítettek áldozataikkal, hogy bizalmat építsenek, és sokkal hihetőbb történetet alkossanak. A támadás kezdeti szakaszában a Bismuth egy DLL-oldali betöltésként ismert technikát alkalmazott, amely azt látja, hogy a hackerek kihasználják a régebbi alkalmazásokat, és arra kényszerítik őket, hogy olyan sérült DLL-t töltsenek be, amely egy legitim fájlt hamisít meg. A hackerek által visszaélt alkalmazások a Microsoft Word 2007, a McAffee szkenner, a Microsoft Defender és a Sysinternals DebugView eszköz.

Valódi szándékaik elrejtésére a Bismuth hackerek végrehajtottak egy Monero kriptobányászati rakományt a kompromittált gépeken. Noha a bányászok nem tudtak egy csomó pénzt előteremteni, céljukat szolgálták, hogy eltereljék a figyelmet a csoport adatgyűjtési tevékenységéről.

A bizmut tanulmányozza a célpontjait

A kiválasztott gépbe jutva a Bismuth hackerek időt vesznek, mielőtt lecsapnának. A jelentések szerint a csoport körülbelül egy hónapig a feltört hálózaton belül lapult, keresve és azonosítva a leghasznosabb számítógépeket, amelyekre továbbterjedhet. Ebben az időszakban a fenyegetettség szereplője különféle adatokat gyűjtött, beleértve a tartományi és helyi rendszergazdai adatokat, az eszközinformációkat és a helyi rendszereken elérhető felhasználói jogosultságokat.

A feltört hálózaton belüli tevékenység több szakaszon ment keresztül, kezdve azzal a kísérlettel, hogy hitelesítő adatokat gyűjtsenek be a Security Account Manager (SAM) adatbázisaiból, valamint a tartománycsoportra és a felhasználóra vonatkozó információkat. A kezdeti adatgyűjtés után a fenyegetettség szereplője megpróbálja kihasználni a Windows Management Instrumentation (WMI) eszközt, hogy további eszközökhöz csatlakozzon. A folyamat utolsó lépésében a hackerek egy CobaltStrike jeladót telepítenek a DLL oldalsó betöltésén keresztül.