Bismuth APT

Zaobserwowano, że działająca od dawna grupa Advanced Persistent Threat (APT) o nazwie Bismuth próbuje ostatnio ukryć swoje działania, instalując ładunek koparki kryptowalut na swoich celach. W krajobrazie infosec operacje wydobywania kryptowalut są uważane za kwestie niekrytyczne i zwykle wywołują bardziej stonowaną reakcję w porównaniu z przypadkami cyberszpiegostwa lub wdrażania oprogramowania ransomware.

Główną specjalizacją Bizmutu było prowadzenie kampanii zbierania danych i ataków szpiegowskich. Grupa działa od co najmniej 2012 roku i przez ten czas jej narzędzia, techniki i procedury stale ewoluowały zarówno pod względem złożoności, jak i zakresu. Arsenał grupy składa się ze specjalnie tworzonego szkodliwego oprogramowania połączonego z narzędziami typu open source. Ich ofiary pochodzą z wielu sektorów przemysłu, w tym podmiotów międzynarodowych, firm oferujących usługi finansowe, jednostek i agencji rządowych, a także instytucji edukacyjnych. Jednak ich preferowanym celem od zawsze były organizacje praw człowieka i obywatela.

Bizmut wykorzystuje kryptowalutę jako wabik

W swojej nowszej kampanii grupa naraziła na szwank cele prywatne i rządowe zlokalizowane we Francji i Wietnamie. Operację przypisano firmie Bismuth ze względu na rozmieszczenie określonego złośliwego oprogramowania o nazwie KerrDown, które zostało wykryte wyłącznie w ramach jego ataków.

Aby zdobyć przyczółek wewnątrz swojego celu, Bismuth stworzył bardzo szczegółowe wiadomości e-mail typu spear-phishing skierowane do określonych pracowników w organizacji. Hakerzy zebrali różne dane o wybranych osobach przed uruchomieniem uszkodzonych wiadomości e-mail. W niektórych przypadkach hakerzy nawiązali nawet komunikację ze swoimi ofiarami, aby zbudować zaufanie i stworzyć znacznie bardziej wiarygodną historię. Na początkowych etapach ataku Bismuth zastosował technikę znaną jako ładowanie boczne DLL, w której hakerzy wykorzystują starsze aplikacje i zmuszają ich do załadowania uszkodzonej biblioteki DLL, która fałszuje legalny plik. Aplikacje zauważone jako nadużywane przez hakerów to Microsoft Word 2007, skaner McAffee, Microsoft Defender i narzędzie Sysinternals DebugView.

Aby ukryć swoje prawdziwe intencje, hakerzy Bizmutu wykonali ładunek wydobywający kryptowaluty Monero na zaatakowanych maszynach. Chociaż górnicy nie byli w stanie wygenerować mnóstwa pieniędzy, spełnili swój cel, odwracając uwagę od działań grupy polegających na gromadzeniu danych.

Bizmut bada swoje cele

Po wejściu do wybranej maszyny hakerzy z bizmutu nie spieszą się, zanim zaatakują. Zgłoszono, że grupa czai się przez około miesiąc w zaatakowanej sieci, wyszukując i identyfikując najbardziej przydatne komputery, na które można się rozprzestrzeniać. W tym okresie aktor zagrożenia zebrał różne dane, w tym szczegóły domeny i administratora lokalnego, informacje o urządzeniach i uprawnieniach użytkowników dostępnych w systemach lokalnych.

Aktywność wewnątrz zaatakowanej sieci przechodziła przez kilka etapów, zaczynając od prób zebrania poświadczeń z baz danych Security Account Manager (SAM), a także informacji o grupie domeny i użytkowniku. Po początkowym zebraniu danych podmiot atakujący próbuje wykorzystać Instrumentację zarządzania Windows (WMI), aby połączyć się z dodatkowymi urządzeniami. Na ostatnim etapie procesu hakerzy instalują sygnał nawigacyjny CobaltStrike za pośrednictwem ładowania bocznego DLL.