Vismut APT

En langvarig Advanced Persistent Threat (APT)-gruppe kalt Bismuth har blitt observert forsøke å skjule aktivitetene sine nylig ved å distribuere en krypto-miner nyttelast til målene deres. I infosec-landskapet anses kryptogruvedrift som ikke-kritiske problemer og fremkaller vanligvis en mer dempet respons sammenlignet med tilfeller av nettspionasje eller utplassering av løsepengevare.

Bismuths hovedspesialisering har vært gjennomføring av datainnsamling og spionasjeangrepskampanjer. Gruppen har vært funksjonell siden minst 2012, og i løpet av den perioden har verktøyene, teknikkene og prosedyrene deres utviklet seg i både kompleksitet og rekkevidde jevnt og trutt. Arsenalet til gruppen består av skreddersydd skadevare kombinert med åpen kildekode-verktøy. Ofrene deres kommer fra et bredt sett av industrisektorer, inkludert internasjonale enheter, selskaper som tilbyr finansielle tjenester, offentlige enheter og byråer, samt utdanningsinstitusjoner. Deres foretrukne mål har imidlertid alltid vært menneske- og borgerrettighetsorganisasjoner.

Vismut bruker kryptogruvedrift som lokkemiddel

I sin nyere kampanje kompromitterte gruppen private og offentlige mål i Frankrike og Vietnam. Operasjonen ble tilskrevet Bismuth på grunn av utplasseringen av en spesiell malware-trussel kalt KerrDown, som utelukkende har blitt oppdaget som en del av angrepene.

For å få fotfeste innenfor sitt mål, laget Bismuth svært detaljerte spyd-phishing-e-poster rettet mot spesifikke ansatte i organisasjonene. Hackerne samlet inn ulike data om de utvalgte personene før de lanserte korrupte e-poster. I noen tilfeller etablerte hackerne til og med kommunikasjon med ofrene for å bygge tillit og skape en langt mer troverdig historie. I de innledende stadiene av angrepet brukte Bismuth en teknikk kjent som DLL side-loading, som ser at hackere utnytter eldre applikasjoner og tvinger dem til å laste inn en ødelagt DLL som forfalsker en legitim fil. Applikasjoner som er observert som misbrukt av hackerne er Microsoft Word 2007, McAffee-skanner, Microsoft Defender og Sysinternals DebugView-verktøyet.

For å skjule sine sanne intensjoner, utførte Bismuth-hackerne en Monero-kryptogruvedrift på de kompromitterte maskinene. Selv om gruvearbeiderne ikke var i stand til å generere massevis av penger, tjente de sitt formål med å avverge oppmerksomheten fra gruppens datainnsamlingsaktiviteter.

Vismut studerer dens mål

Vel inne i den valgte maskinen tar Bismuth-hackerne seg god tid før de slår til. Gruppen er rapportert å ha lurt i rundt en måned inne i det kompromitterte nettverket, søkt og identifisert de mest nyttige datamaskinene å spre seg til. I løpet av denne perioden samlet trusselaktøren inn ulike data, inkludert domene- og lokale administratordetaljer, enhetsinformasjon og brukerrettigheter tilgjengelig på lokale systemer.

Aktiviteten inne i det kompromitterte nettverket gikk gjennom flere stadier, og begynte med forsøk på å samle inn legitimasjon fra SAM-databaser (Security Account Manager), samt informasjon om domenegruppen og brukeren. Etter den første datainnsamlingen prøver trusselaktøren å utnytte Windows Management Instrumentation (WMI) for å koble til flere enheter. Det siste trinnet i prosessen ser at hackerne installerer et CobaltStrike-beacon via DLL-sidelasting.