Bismuth APT

Bismuth APT

Er is waargenomen dat een langlopende Advanced Persistent Threat (APT) -groep genaamd Bismuth onlangs zijn activiteiten probeerde te verbergen door een payload van een cryptominer op hun doelen te plaatsen. In het infosec-landschap worden cryptomining-operaties beschouwd als niet-kritieke problemen en lokken ze meestal een meer ingetogen reactie uit in vergelijking met gevallen van cyberspionage of de inzet van ransomware.

De belangrijkste specialisatie van Bismuth was het voeren van campagnes voor het verzamelen van gegevens en spionage. De groep is functioneel sinds ten minste 2012 en gedurende die periode zijn hun tools, technieken en procedures gestaag geëvolueerd in zowel complexiteit als bereik. Het arsenaal van de groep bestaat uit op maat gemaakte malware gecombineerd met open source tools. Hun slachtoffers zijn afkomstig uit een breed scala aan industriële sectoren, waaronder internationale entiteiten, bedrijven die financiële diensten aanbieden, overheidsinstanties en -agentschappen, evenals onderwijsinstellingen. Hun favoriete doelwitten zijn echter altijd de mensen- en burgerrechtenorganisaties geweest.

Bismuth gebruikt Crypto-Mining als een lokaas

In hun meer recente campagne compromitteerde de groep particuliere en overheidsdoelen in Frankrijk en Vietnam. De operatie werd toegeschreven aan Bismuth vanwege de inzet van een bepaalde malwarebedreiging genaamd KerrDown, die exclusief is gedetecteerd als onderdeel van zijn aanvallen.

Om voet aan de grond te krijgen binnen zijn doel, heeft Bismuth zeer gedetailleerde spear-phishing-e-mails gemaakt die gericht zijn op specifieke werknemers binnen de organisaties. De hackers verzamelden verschillende gegevens over de geselecteerde personen voordat ze corrupte e-mails lanceerden. In sommige gevallen hebben de hackers zelfs communicatie met hun slachtoffers tot stand gebracht om vertrouwen op te bouwen en een veel geloofwaardiger verhaal te creëren. In de beginfase van de aanval gebruikte Bismuth een techniek die bekend staat als DLL side-loading, waarbij hackers oudere applicaties misbruiken en ze dwingen een beschadigde DLL te laden die een legitiem bestand vervalst. Toepassingen die door hackers als misbruikt worden beschouwd, zijn Microsoft Word 2007, McAffee-scanner, Microsoft Defender en de Sysinternals DebugView-tool.

Om hun ware bedoelingen te verbergen, voerden de Bismuth-hackers een Monero-cryptomining-payload uit op de gecompromitteerde machines. Hoewel de mijnwerkers niet in staat waren om veel geld te verdienen, dienden ze hun doel door de aandacht af te wenden van de gegevensverzamelingsactiviteiten van de groep.

Bismuth bestudeert zijn doelen

Eenmaal in de geselecteerde machine nemen de Bismuth-hackers de tijd voordat ze toeslaan. Naar verluidt sluimert de groep ongeveer een maand in het gecompromitteerde netwerk, zoekend en identificerend naar de meest bruikbare computers om zich naar toe te verspreiden. Tijdens deze periode verzamelde de bedreigingsacteur verschillende gegevens, waaronder domein- en lokale beheerdersgegevens, apparaatgegevens en gebruikersprivileges die beschikbaar zijn op lokale systemen.

De activiteit binnen het gecompromitteerde netwerk doorliep verschillende fasen, te beginnen met pogingen om inloggegevens te verzamelen van Security Account Manager (SAM) -databases, evenals informatie over de domeingroep en gebruiker. Na de eerste gegevensverzameling probeert de bedreigingsacteur gebruik te maken van Windows Management Instrumentation (WMI) om verbinding te maken met extra apparaten. In de laatste stap van het proces installeren de hackers een CobaltStrike-baken via DLL-side-loading.

Trending

Bezig met laden...