Bismuth APT

È stato osservato che un gruppo di lunga data Advanced Persistent Threat (APT) chiamato Bismuth ha cercato di nascondere le sue attività di recente distribuendo un payload di cripto-miner ai propri obiettivi. Nel panorama dell'infosec, le operazioni di cripto-mining sono considerate problemi non critici e di solito suscitano una risposta più sommessa rispetto ai casi di cyber-spionaggio o distribuzione di ransomware.

La principale specializzazione di Bismuth è stata la conduzione di campagne di raccolta dati e attacchi di spionaggio. Il gruppo è operativo almeno dal 2012 e durante quel periodo i loro strumenti, tecniche e procedure si sono evoluti costantemente sia in complessità che in gamma. L'arsenale del gruppo è costituito da malware personalizzato combinato con strumenti open source. Le loro vittime provengono da una vasta gamma di settori industriali, comprese entità internazionali, società che offrono servizi finanziari, enti e agenzie governative, nonché istituzioni educative. I loro obiettivi preferiti, tuttavia, sono sempre state le organizzazioni per i diritti umani e civili.

Bismuth utilizza Crypto-Mining come esca

Nella loro campagna più recente, il gruppo ha compromesso obiettivi privati e governativi situati in Francia e Vietnam. L'operazione è stata attribuita a Bismuth a causa del dispiegamento di una particolare minaccia malware chiamata KerrDown, che è stata rilevata esclusivamente come parte dei suoi attacchi.

Per prendere piede all'interno del suo obiettivo, Bismuth ha creato e-mail di spear phishing altamente dettagliate dirette a dipendenti specifici all'interno delle organizzazioni. Gli hacker hanno raccolto vari dati sugli individui selezionati prima di lanciare e-mail danneggiate. In alcuni casi, gli hacker hanno persino stabilito una comunicazione con le loro vittime per creare fiducia e creare una storia molto più credibile. Nelle fasi iniziali dell'attacco, Bismuth ha impiegato una tecnica nota come caricamento laterale della DLL, che vede gli hacker sfruttare applicazioni meno recenti e costringerli a caricare una DLL danneggiata che sta falsificando un file legittimo. Le applicazioni osservate come oggetto di abuso da parte degli hacker sono Microsoft Word 2007, lo scanner McAffee, Microsoft Defender e lo strumento Sysinternals DebugView.

Per nascondere le loro vere intenzioni, gli hacker di Bismuth hanno eseguito un payload di crypto mining Monero sulle macchine compromesse. Sebbene i minatori non fossero in grado di generare un sacco di soldi, servirono al loro scopo distogliendo l'attenzione dalle attività di raccolta dati del gruppo.

Il bismuto studia i suoi obiettivi

Una volta all'interno della macchina selezionata, gli hacker di Bismuth si prendono il loro tempo prima di colpire. Il gruppo è stato segnalato come in agguato per circa un mese all'interno della rete compromessa, cercando e identificando i computer più utili a cui diffondersi. Durante questo periodo, l'attore della minaccia ha raccolto vari dati, inclusi i dettagli del dominio e dell'amministratore locale, le informazioni sul dispositivo e i privilegi degli utenti disponibili sui sistemi locali.

L'attività all'interno della rete compromessa è passata attraverso diverse fasi, iniziando con i tentativi di raccogliere le credenziali dai database SAM (Security Account Manager), nonché le informazioni sul gruppo di dominio e sull'utente. Dopo la raccolta iniziale dei dati, l'attore della minaccia cerca di sfruttare Strumentazione gestione Windows (WMI) per connettersi a dispositivi aggiuntivi. Il passaggio finale del processo vede gli hacker che installano un beacon CobaltStrike tramite caricamento laterale della DLL.