Bismuth APT

Bismuth APT Descrizione

È stato osservato che un gruppo di lunga data Advanced Persistent Threat (APT) chiamato Bismuth ha cercato di nascondere le sue attività di recente distribuendo un payload di cripto-miner ai propri obiettivi. Nel panorama dell'infosec, le operazioni di cripto-mining sono considerate problemi non critici e di solito suscitano una risposta più sommessa rispetto ai casi di cyber-spionaggio o distribuzione di ransomware.

La principale specializzazione di Bismuth è stata la conduzione di campagne di raccolta dati e attacchi di spionaggio. Il gruppo è operativo almeno dal 2012 e durante quel periodo i loro strumenti, tecniche e procedure si sono evoluti costantemente sia in complessità che in gamma. L'arsenale del gruppo è costituito da malware personalizzato combinato con strumenti open source. Le loro vittime provengono da una vasta gamma di settori industriali, comprese entità internazionali, società che offrono servizi finanziari, enti e agenzie governative, nonché istituzioni educative. I loro obiettivi preferiti, tuttavia, sono sempre state le organizzazioni per i diritti umani e civili.

Bismuth utilizza Crypto-Mining come esca

Nella loro campagna più recente, il gruppo ha compromesso obiettivi privati e governativi situati in Francia e Vietnam. L'operazione è stata attribuita a Bismuth a causa del dispiegamento di una particolare minaccia malware chiamata KerrDown, che è stata rilevata esclusivamente come parte dei suoi attacchi.

Per prendere piede all'interno del suo obiettivo, Bismuth ha creato e-mail di spear phishing altamente dettagliate dirette a dipendenti specifici all'interno delle organizzazioni. Gli hacker hanno raccolto vari dati sugli individui selezionati prima di lanciare e-mail danneggiate. In alcuni casi, gli hacker hanno persino stabilito una comunicazione con le loro vittime per creare fiducia e creare una storia molto più credibile. Nelle fasi iniziali dell'attacco, Bismuth ha impiegato una tecnica nota come caricamento laterale della DLL, che vede gli hacker sfruttare applicazioni meno recenti e costringerli a caricare una DLL danneggiata che sta falsificando un file legittimo. Le applicazioni osservate come oggetto di abuso da parte degli hacker sono Microsoft Word 2007, lo scanner McAffee, Microsoft Defender e lo strumento Sysinternals DebugView.

Per nascondere le loro vere intenzioni, gli hacker di Bismuth hanno eseguito un payload di crypto mining Monero sulle macchine compromesse. Sebbene i minatori non fossero in grado di generare un sacco di soldi, servirono al loro scopo distogliendo l'attenzione dalle attività di raccolta dati del gruppo.

Il bismuto studia i suoi obiettivi

Una volta all'interno della macchina selezionata, gli hacker di Bismuth si prendono il loro tempo prima di colpire. Il gruppo è stato segnalato come in agguato per circa un mese all'interno della rete compromessa, cercando e identificando i computer più utili a cui diffondersi. Durante questo periodo, l'attore della minaccia ha raccolto vari dati, inclusi i dettagli del dominio e dell'amministratore locale, le informazioni sul dispositivo e i privilegi degli utenti disponibili sui sistemi locali.

L'attività all'interno della rete compromessa è passata attraverso diverse fasi, iniziando con i tentativi di raccogliere le credenziali dai database SAM (Security Account Manager), nonché le informazioni sul gruppo di dominio e sull'utente. Dopo la raccolta iniziale dei dati, l'attore della minaccia cerca di sfruttare Strumentazione gestione Windows (WMI) per connettersi a dispositivi aggiuntivi. Il passaggio finale del processo vede gli hacker che installano un beacon CobaltStrike tramite caricamento laterale della DLL.

Lascia un commento

NON utilizzare questo sistema di commenti per domande di supporto o fatturazione. Per richieste di supporto tecnico SpyHunter, si prega di contattare direttamente il nostro team di supporto tecnico aprendo un ticket di supporto clienti tramite SpyHunter. Per problemi di fatturazione, fai riferimento alla nostra pagina "Domande o problemi di fatturazione?". Per domande generali (reclami, legali, stampa, marketing, copyright), visita la nostra pagina "Richieste di informazioni e feedback".


HTML non è consentito.