बिस्मथ एपीटी

लामो समयदेखि चलिरहेको Advanced Persistent Threat (APT) समूहले बिस्मुथलाई आफ्नो लक्ष्यमा क्रिप्टो-माइनर पेलोड तैनाथ गरेर आफ्ना गतिविधिहरू लुकाउन खोजेको देखिएको छ। इन्फोसेक ल्यान्डस्केपमा, क्रिप्टो-खनन कार्यहरू गैर-महत्वपूर्ण मुद्दाहरूका रूपमा मानिन्छ र साइबर-जासुसी वा ransomware को तैनातीका घटनाहरूको तुलनामा सामान्यतया एक अधिक कम प्रतिक्रिया प्राप्त गर्दछ।

बिस्मुथको मुख्य विशेषज्ञता डाटा-हर्भेसिङ र जासुसी आक्रमण अभियानहरू सञ्चालन गर्नु हो। समूह कम्तिमा 2012 देखि कार्य गर्दै आएको छ, र त्यो अवधिमा, तिनीहरूको उपकरण, प्रविधि, र प्रक्रियाहरू दुवै जटिलता र दायरा स्थिर रूपमा विकसित भइरहेको छ। समूहको शस्त्रागारमा खुला-स्रोत उपकरणहरूसँग अनुकूलन-निर्मित मालवेयर समावेश छ। तिनीहरूका पीडितहरू अन्तर्राष्ट्रिय संस्थाहरू, वित्तीय सेवाहरू प्रदान गर्ने कम्पनीहरू, सरकारी निकायहरू र एजेन्सीहरू, साथै शैक्षिक संस्थाहरू सहित उद्योग क्षेत्रहरूको एक विस्तृत सेटबाट आउँछन्। तथापि, तिनीहरूको मनपर्ने लक्ष्यहरू मानव र नागरिक अधिकार संगठनहरू हुन्।

बिस्मथले क्रिप्टो माइनिङलाई डेकोयको रूपमा प्रयोग गर्दछ

आफ्नो हालैको अभियानमा, समूहले फ्रान्स र भियतनाममा अवस्थित निजी र सरकारी लक्ष्यहरूलाई सम्झौता गर्यो। केरडाउन नामक विशेष मालवेयर खतराको तैनातीका कारण यो अपरेशन बिस्मथलाई श्रेय दिइएको थियो, जुन विशेष रूपमा यसको आक्रमणहरूको भागको रूपमा पत्ता लगाइएको छ।

आफ्नो लक्ष्य भित्र एक खुट्टा प्राप्त गर्न, Bismuth ले उच्च-विस्तृत भाला-फिसिङ इमेलहरू संगठन भित्रका विशिष्ट कर्मचारीहरूलाई निर्देशित गर्यो। ह्याकरहरूले भ्रष्ट इमेलहरू सुरु गर्नु अघि चयन गरिएका व्यक्तिहरूको बारेमा विभिन्न डाटा सङ्कलन गरे। कतिपय अवस्थामा, ह्याकरहरूले विश्वास निर्माण गर्न र अझ बढी विश्वासयोग्य कथा सिर्जना गर्न आफ्ना पीडितहरूसँग सञ्चार पनि स्थापना गरे। आक्रमणको प्रारम्भिक चरणहरूमा, बिस्मुथले DLL साइड-लोडिङ भनेर चिनिने एक प्रविधि प्रयोग गर्‍यो, जसले ह्याकरहरूले पुराना अनुप्रयोगहरूको शोषण गरेको देख्छ र उनीहरूलाई वैध फाइल नक्कल गर्ने भ्रष्ट DLL लोड गर्न बाध्य पार्छ। ह्याकरहरूले दुरुपयोग गरेको देखिएका अनुप्रयोगहरू Microsoft Word 2007, McAffee स्क्यानर, Microsoft Defender र Sysinternals DebugView उपकरण हुन्।

आफ्नो साँचो मनसाय लुकाउन, बिस्मुथ ह्याकरहरूले सम्झौता गरिएका मेसिनहरूमा मोनेरो क्रिप्टो-खनन पेलोडलाई कार्यान्वयन गरे। जबकि खानीहरूले एक टन पैसा उत्पन्न गर्न सक्षम भएनन्, तिनीहरूले समूहको डेटा-हर्भेसिङ गतिविधिहरूबाट ध्यान हटाउन आफ्नो उद्देश्य पूरा गरे।

बिस्मथले यसको लक्ष्यहरू अध्ययन गर्दछ

एक पटक चयन गरिएको मेसिन भित्र, बिस्मथ ह्याकरहरूले आक्रमण गर्नु अघि आफ्नो समय लिन्छन्। यो समूह सम्झौता नेटवर्क भित्र लगभग एक महिना लुकेको रिपोर्ट गरिएको छ, खोजी र फैलाउन को लागी सबै भन्दा उपयोगी कम्प्युटरहरु को पहिचान। यस अवधिमा, खतरा अभिनेताले डोमेन र स्थानीय प्रशासक विवरणहरू, यन्त्र जानकारी, र स्थानीय प्रणालीहरूमा उपलब्ध प्रयोगकर्ता विशेषाधिकारहरू सहित विभिन्न डेटा सङ्कलन गरे।

सेक्युरिटी अकाउन्ट म्यानेजर (SAM) डाटाबेसहरू, साथै डोमेन समूह र प्रयोगकर्ताको बारेमा जानकारीहरू सङ्कलन गर्ने प्रयासहरूबाट सुरु भई सम्झौता गरिएको नेटवर्क भित्रको गतिविधिले धेरै चरणहरू पार गर्यो। प्रारम्भिक डेटा फसल पछि, खतरा अभिनेताले थप उपकरणहरूमा जडान गर्न Windows व्यवस्थापन उपकरण (WMI) को लाभ उठाउने प्रयास गर्दछ। प्रक्रियाको अन्तिम चरणले ह्याकरहरूले DLL साइड-लोडिङ मार्फत कोबाल्टस्ट्राइक बीकन स्थापना गरिरहेको देख्छ।