Bismut APT

Kumpulan Ancaman Berterusan Lanjutan (APT) yang telah lama berjalan yang dipanggil Bismuth telah diperhatikan cuba menyembunyikan aktivitinya baru-baru ini dengan menggunakan muatan pelombong kripto ke sasaran mereka. Dalam landskap infosec, operasi perlombongan kripto dianggap sebagai isu tidak kritikal dan biasanya menimbulkan tindak balas yang lebih lemah jika dibandingkan dengan kes pengintipan siber atau penggunaan perisian tebusan.

Pengkhususan utama Bismuth ialah menjalankan kempen pengumpulan data dan serangan pengintipan. Kumpulan ini telah berfungsi sejak sekurang-kurangnya 2012, dan dalam tempoh itu, alatan, teknik dan prosedur mereka telah berkembang dalam kedua-dua kerumitan dan julat secara berterusan. Senjata kumpulan itu terdiri daripada perisian hasad buatan tersuai digabungkan dengan alat sumber terbuka. Mangsa mereka datang daripada pelbagai sektor industri, termasuk entiti antarabangsa, syarikat yang menawarkan perkhidmatan kewangan, entiti dan agensi kerajaan, serta institusi pendidikan. Sasaran pilihan mereka, bagaimanapun, adalah pertubuhan hak asasi manusia dan sivil.

Bismuth Menggunakan Crypto-Mining sebagai Umpan

Dalam kempen terbaru mereka, kumpulan itu menjejaskan sasaran swasta dan kerajaan yang terletak di Perancis dan Vietnam. Operasi itu dikaitkan dengan Bismuth kerana penggunaan ancaman perisian hasad tertentu bernama KerrDown, yang telah dikesan sebagai sebahagian daripada serangannya secara eksklusif.

Untuk bertapak dalam sasarannya, Bismuth menghasilkan e-mel pancingan lembing yang sangat terperinci yang ditujukan kepada pekerja tertentu dalam organisasi. Penggodam mengumpul pelbagai data mengenai individu terpilih sebelum melancarkan e-mel yang rosak. Dalam sesetengah kes, penggodam malah menjalin komunikasi dengan mangsa mereka untuk membina kepercayaan dan mencipta cerita yang jauh lebih dipercayai. Pada peringkat awal serangan, Bismuth menggunakan teknik yang dikenali sebagai pemuatan sisi DLL, yang menyaksikan penggodam mengeksploitasi aplikasi lama dan memaksa mereka memuatkan DLL yang rosak yang memalsukan fail yang sah. Aplikasi yang diperhatikan sebagai disalahgunakan oleh penggodam ialah Microsoft Word 2007, pengimbas McAffee, Microsoft Defender dan alat Sysinternals DebugView.

Untuk menyembunyikan niat sebenar mereka, penggodam Bismuth melaksanakan muatan perlombongan kripto Monero pada mesin yang terjejas. Walaupun pelombong tidak dapat menjana banyak wang, mereka memenuhi tujuan mereka dalam mengalihkan perhatian daripada aktiviti penuaian data kumpulan.

Bismuth Mengkaji Sasarannya

Sebaik sahaja berada di dalam mesin yang dipilih, penggodam Bismuth mengambil masa sebelum menyerang. Kumpulan itu dilaporkan bersembunyi selama kira-kira sebulan di dalam rangkaian yang terjejas, mencari dan mengenal pasti komputer paling berguna untuk disebarkan. Dalam tempoh ini, pelaku ancaman mengumpul pelbagai data, termasuk butiran domain dan pentadbir tempatan, maklumat peranti dan keistimewaan pengguna yang tersedia pada sistem setempat.

Aktiviti di dalam rangkaian terjejas bergerak melalui beberapa peringkat, bermula dengan percubaan untuk mengumpul bukti kelayakan daripada pangkalan data Pengurus Akaun Keselamatan (SAM), serta maklumat tentang kumpulan domain dan pengguna. Selepas penuaian data awal, pelaku ancaman cuba memanfaatkan Instrumen Pengurusan Windows (WMI) untuk menyambung ke peranti tambahan. Langkah terakhir proses melihat penggodam memasang suar CobaltStrike melalui pemuatan sisi DLL.