Bismutas APT

Pastebėta, kad ilgą laiką veikianti Išplėstinės nuolatinės grėsmės (APT) grupė, vadinama Bismuth, pastaruoju metu bandė nuslėpti savo veiklą, dislokuodamas kriptovaliutų kasybos naudingąjį apkrovą savo tikslams. Infosec aplinkoje kriptovaliutų gavybos operacijos laikomos nekritinėmis problemomis ir paprastai sukelia silpnesnį atsaką, palyginti su kibernetinio šnipinėjimo ar išpirkos reikalaujančios programinės įrangos diegimo atvejais.

Pagrindinė Bismuto specializacija buvo duomenų rinkimo ir šnipinėjimo atakų kampanijų vykdymas. Grupė veikė mažiausiai nuo 2012 m., o per tą laikotarpį jų įrankiai, metodai ir procedūros nuolat tobulėjo tiek sudėtingumu, tiek diapazonu. Grupės arsenalą sudaro pagal užsakymą sukurtos kenkėjiškos programos kartu su atvirojo kodo įrankiais. Jų aukos yra iš daugybės pramonės sektorių, įskaitant tarptautinius subjektus, finansines paslaugas siūlančias įmones, vyriausybines įstaigas ir agentūras, taip pat švietimo įstaigas. Tačiau jų mėgstamiausi taikiniai buvo žmogaus ir pilietinių teisių organizacijos.

Bismutas naudoja kriptovaliutą kaip apgaulę

Savo naujesnėje kampanijoje grupė sukompromitavo privačius ir vyriausybinius taikinius Prancūzijoje ir Vietname. Operacija buvo priskirta Bismuthui dėl tam tikros kenkėjiškos programos, pavadintos KerrDown, įdiegimo, kuri buvo aptikta tik kaip jos atakų dalis.

Siekdamas įsitvirtinti savo tikslo viduje, Bismuth sukūrė labai išsamius sukčiavimo el. laiškus, skirtus konkretiems organizacijos darbuotojams. Prieš paleisdami sugadintus el. laiškus, įsilaužėliai rinko įvairius duomenis apie pasirinktus asmenis. Kai kuriais atvejais įsilaužėliai netgi užmezgė ryšį su savo aukomis, kad sukurtų pasitikėjimą ir sukurtų daug labiau tikėtiną istoriją. Pradinėse atakos stadijose Bismuth naudojo techniką, žinomą kaip DLL šoninis įkėlimas, kai įsilaužėliai išnaudoja senesnes programas ir verčia juos įkelti sugadintą DLL, klaidinantį teisėtą failą. Programos, kuriomis piktnaudžiauja įsilaužėliai, yra Microsoft Word 2007, McAffee skaitytuvas, Microsoft Defender ir Sysinternals DebugView įrankis.

Siekdami paslėpti savo tikruosius ketinimus, Bismuth įsilaužėliai įvykdė Monero kriptovaliutų kasybos naudingąją apkrovą pažeistose mašinose. Nors kalnakasiai negalėjo uždirbti daug pinigų, jie atliko savo tikslą – nukreipė dėmesį nuo grupės duomenų rinkimo veiklos.

Bismutas tyrinėja savo tikslus

Patekę į pasirinktą aparatą, Bismuto įsilaužėliai neskuba prieš smogdami. Pranešama, kad grupė maždaug mėnesį slapstėsi pažeistame tinkle, ieškodama ir nustatydama naudingiausius kompiuterius, į kuriuos galima plisti. Per šį laikotarpį grėsmės veikėjas rinko įvairius duomenis, įskaitant domeno ir vietinio administratoriaus informaciją, įrenginio informaciją ir vietinėse sistemose pasiekiamas vartotojo teises.

Veikla pažeistame tinkle vyko keliais etapais, pradedant bandymais rinkti kredencialus iš saugos paskyrų tvarkyklės (SAM) duomenų bazių, taip pat informaciją apie domenų grupę ir vartotoją. Po pradinio duomenų rinkimo grėsmės veikėjas bando panaudoti „Windows Management Instrumentation“ (WMI), kad prisijungtų prie papildomų įrenginių. Paskutiniame proceso etape įsilaužėliai įdiegia CobaltStrike švyturį naudodami DLL šoninį įkėlimą.