비스무트 아파트

Bismuth라고 하는 장기간 APT(Advanced Persistent Threat) 그룹이 최근에 암호화폐 채굴기 페이로드를 대상에 배포하여 활동을 숨기려고 하는 것이 관찰되었습니다. infosec 환경에서 크립토 마이닝 작업은 중요하지 않은 문제로 간주되며 일반적으로 사이버 스파이 또는 랜섬웨어 배포의 경우와 비교할 때 더 차분한 대응을 이끌어냅니다.

Bismuth의 주요 전문 분야는 데이터 수집 및 간첩 공격 캠페인을 수행하는 것입니다. 이 그룹은 최소한 2012년부터 기능해 왔으며 그 기간 동안 도구, 기술 및 절차는 복잡성과 범위 모두에서 꾸준히 발전해 왔습니다. 그룹의 무기고는 오픈 소스 도구와 결합된 맞춤형 맬웨어로 구성됩니다. 그들의 피해자는 국제 기관, 금융 서비스를 제공하는 회사, 정부 기관 및 기관, 교육 기관을 비롯한 다양한 산업 분야에서 왔습니다. 그러나 그들이 선호하는 목표는 지속적으로 인권 단체와 시민권 단체였습니다.

Bismuth는 미끼로 Crypto-Mining을 사용합니다.

최근 캠페인에서 이 그룹은 프랑스와 베트남에 위치한 민간 및 정부 목표물을 손상시켰습니다. 이 작업은 단독 공격의 일부로 탐지된 KerrDown이라는 특정 맬웨어 위협의 배포로 인해 Bismuth에 기인했습니다.

대상 내부에 발판을 마련하기 위해 Bismuth는 조직 내 특정 직원을 대상으로 하는 매우 상세한 스피어 피싱 이메일을 제작했습니다. 해커는 손상된 이메일을 실행하기 전에 선택된 개인에 대한 다양한 데이터를 수집했습니다. 어떤 경우에는 해커가 피해자와 의사 소통을 하여 신뢰를 구축하고 훨씬 더 믿을 수 있는 이야기를 만들기까지 했습니다. 공격의 초기 단계에서 Bismuth는 해커가 구형 응용 프로그램을 악용하고 합법적인 파일을 스푸핑하는 손상된 DLL을 로드하도록 하는 DLL 사이드 로딩이라는 기술을 사용했습니다. 해커가 악용하는 것으로 관찰된 응용 프로그램은 Microsoft Word 2007, McAffee 스캐너, Microsoft Defender 및 Sysinternals DebugView 도구입니다.

Bismuth 해커는 진정한 의도를 숨기기 위해 손상된 시스템에서 Monero 암호화 마이닝 페이로드를 실행했습니다. 광부들은 많은 돈을 벌 수는 없었지만 그룹의 데이터 수집 활동에서 주의를 돌리는 목적을 달성했습니다.

비스무트 연구 대상

선택한 시스템에 들어가면 Bismuth 해커가 공격을 시작하기 전에 시간을 들이게 됩니다. 이 그룹은 감염된 네트워크 내부에 약 한 달 동안 숨어서 전파할 가장 유용한 컴퓨터를 검색하고 식별하는 것으로 보고되었습니다. 이 기간 동안 위협 행위자는 도메인 및 로컬 관리자 세부 정보, 장치 정보, 로컬 시스템에서 사용할 수 있는 사용자 권한 등 다양한 데이터를 수집했습니다.

손상된 네트워크 내부의 활동은 SAM(Security Account Manager) 데이터베이스에서 자격 증명과 도메인 그룹 및 사용자에 대한 정보 수집을 시작으로 여러 단계를 거쳤습니다. 초기 데이터 수집 후 위협 행위자는 WMI(Windows Management Instrumentation)를 활용하여 추가 장치에 연결하려고 시도합니다. 프로세스의 마지막 단계에서는 해커가 DLL 사이드 로딩을 통해 CobaltStrike 비콘을 설치하는 것을 볼 수 있습니다.