Bismut APT

Un grup de amenințări persistente avansate (APT) de lungă durată, numit Bismuth, a fost observat încercând să-și ascundă activitățile recent prin desfășurarea unei încărcături utile de cripto-mineri către țintele lor. În peisajul infosec, operațiunile de cripto-mining sunt considerate probleme necritice și, de obicei, provoacă un răspuns mai moderat în comparație cu cazurile de spionaj cibernetic sau de implementare a ransomware.

Principala specializare a lui Bismuth a fost desfășurarea de campanii de recoltare de date și atacuri de spionaj. Grupul este funcțional cel puțin din 2012, iar în acea perioadă, instrumentele, tehnicile și procedurile lor au evoluat în mod constant atât în complexitate, cât și în gamă. Arsenalul grupului este format din programe malware personalizate combinate cu instrumente open-source. Victimele lor provin dintr-un set larg de sectoare industriale, inclusiv entități internaționale, companii care oferă servicii financiare, entități și agenții guvernamentale, precum și instituții de învățământ. Țintele lor preferate au fost însă organizațiile pentru drepturile omului și cele civile.

Bismuth folosește Crypto-Mining ca momeală

În campania lor mai recentă, grupul a compromis ținte private și guvernamentale situate în Franța și Vietnam. Operațiunea a fost atribuită lui Bismuth din cauza implementării unei anumite amenințări malware numită KerrDown, care a fost detectată exclusiv ca parte a atacurilor sale.

Pentru a obține un punct de sprijin în interiorul țintei sale, Bismuth a creat e-mailuri de tip spear-phishing foarte detaliate, adresate anumitor angajați din cadrul organizațiilor. Hackerii au adunat diverse date despre indivizii selectați înainte de a lansa e-mailuri corupte. În unele cazuri, hackerii chiar au stabilit comunicare cu victimele lor pentru a construi încredere și pentru a crea o poveste mult mai credibilă. În etapele inițiale ale atacului, Bismuth a folosit o tehnică cunoscută sub numele de încărcare secundară a DLL, care vede hackerii exploatând aplicații mai vechi și forțându-i să încarce un DLL corupt care falsifică un fișier legitim. Aplicațiile observate ca fiind abuzate de hackeri sunt Microsoft Word 2007, scanerul McAffee, Microsoft Defender și instrumentul Sysinternals DebugView.

Pentru a-și ascunde adevăratele intenții, hackerii Bismuth au executat o încărcătură utilă de cripto-mining Monero pe mașinile compromise. Deși minerii nu au fost capabili să genereze o tonă de bani, și-au îndeplinit scopul în a distrage atenția de la activitățile grupului de colectare a datelor.

Bismutul își studiază țintele

Odată ajunși în mașina selectată, hackerii Bismuth își iau timpul înainte de a lovi. Grupul este raportat ca pândește timp de aproximativ o lună în interiorul rețelei compromise, căutând și identificând cele mai utile computere la care să se răspândească. În această perioadă, actorul amenințării a colectat diverse date, inclusiv detalii despre domeniu și administratorul local, informații despre dispozitiv și privilegii de utilizator disponibile pe sistemele locale.

Activitatea din interiorul rețelei compromise a trecut prin mai multe etape, începând cu încercările de a colecta acreditări din bazele de date Security Account Manager (SAM), precum și informații despre grupul de domenii și utilizator. După recoltarea inițială a datelor, actorul amenințării încearcă să folosească Windows Management Instrumentation (WMI) pentru a se conecta la dispozitive suplimentare. Ultimul pas al procesului vede hackerii instalând o baliză CobaltStrike prin încărcare laterală DLL.