Bismuth APT

Um grupo de Ameaça Persistente Avançada (APT) de longa duração chamado Bismuth foi observado tentando esconder suas atividades recentemente, implantando uma carga útil de cripto-mineração em seus alvos. No cenário infosec, as operações de mineração de criptografia são consideradas questões não críticas e geralmente provocam uma resposta mais moderada quando comparadas aos casos de ciberespionagem ou implantação de ransomware.

A principal especialização do Bismuth tem sido a condução de campanhas de coleta de dados e ataques de espionagem. O grupo está em funcionamento pelo menos desde 2012 e, durante esse período, suas ferramentas, técnicas e procedimentos têm evoluído em complexidade e abrangência de forma constante. O arsenal do grupo consiste em malware personalizado combinado com ferramentas de código aberto. Suas vítimas vêm de um amplo conjunto de setores da indústria, incluindo entidades internacionais, empresas que oferecem serviços financeiros, entidades e agências governamentais, bem como instituições educacionais. Seus alvos preferidos, entretanto, têm sido organizações de direitos humanos e civis de forma duradoura.

Bismuth Usa a Cripto-Mineração como Isca

Em sua campanha mais recente, o grupo comprometeu alvos privados e governamentais localizados na França e no Vietnã. A operação foi atribuída ao Bismuth devido à implantação de uma ameaça de malware específica chamada KerrDown, que foi detectada exclusivamente como parte de seus ataques.

Para ganhar uma posição dentro de seu alvo, a Bismuth elaborou e-mails de spear-phishing altamente detalhados dirigidos a funcionários específicos dentro das organizações. Os hackers coletaram vários dados sobre os indivíduos selecionados antes de lançar e-mails corrompidos. Em alguns casos, os hackers até estabeleceram comunicação com suas vítimas para construir confiança e criar uma história muito mais confiável. Nos estágios iniciais do ataque, o Bismuth empregou uma técnica conhecida como carregamento lateral de DLL, que vê os hackers explorando aplicativos antigos e forçando-os a carregar uma DLL corrompida que está falsificando um arquivo legítimo. Os aplicativos observados como abusados por hackers são o Microsoft Word 2007, o scanner McAffee, o Microsoft Defender e a ferramenta Sysinternals DebugView.

Para esconder suas verdadeiras intenções, os hackers do Bismuth executaram uma carga útil de mineração criptográfica Monero nas máquinas comprometidas. Embora os mineiros não fossem capazes de gerar uma tonelada de dinheiro, eles serviram ao propósito de desviar a atenção das atividades de coleta de dados do grupo.

O Bismuth Estuda os Seus Alvos

Uma vez dentro da máquina selecionada, os hackers do Bismuth demoram a atacar. O grupo está à espreita por cerca de um mês dentro da rede comprometida, pesquisando e identificando os computadores mais úteis para se espalhar. Durante esse período, o agente da ameaça coletou vários dados, incluindo detalhes do domínio e do administrador local, informações do dispositivo e privilégios do usuário disponíveis nos sistemas locais.

A atividade dentro da rede comprometida passou por vários estágios, começando com tentativas de coletar credenciais dos bancos de dados do Security Account Manager (SAM), bem como informações sobre o grupo de domínio e o usuário. Após a coleta inicial de dados, o agente da ameaça tenta aproveitar o Windows Management Instrumentation (WMI) para se conectar a dispositivos adicionais. A etapa final do processo mostra os hackers instalando um beacon CobaltStrike por meio do carregamento lateral de DLL.