Висмут АПТ

Недавно было замечено, что давняя группа Advanced Persistent Threat (APT) под названием Bismuth пытается скрыть свою деятельность, развертывая полезную нагрузку криптомайнера на свои цели. В сфере информационной безопасности операции по добыче криптовалюты считаются некритическими проблемами и обычно вызывают более сдержанную реакцию по сравнению со случаями кибершпионажа или развертывания программ-вымогателей.

Основной специализацией Висмута было проведение кампаний по сбору данных и шпионских атак. Группа функционирует как минимум с 2012 года, и в течение этого периода их инструменты, методы и процедуры неуклонно развивались как по сложности, так и по диапазону. Арсенал группы состоит из заказного вредоносного ПО в сочетании с инструментами с открытым исходным кодом. Их жертвы представляют широкий спектр секторов промышленности, включая международные организации, компании, предлагающие финансовые услуги, государственные структуры и агентства, а также образовательные учреждения. Однако их предпочтительными целями всегда были организации по защите прав человека и гражданских прав.

Bismuth использует крипто-майнинг как приманку

В своей недавней кампании группа скомпрометировала частные и государственные цели, расположенные во Франции и Вьетнаме. Операция была приписана Bismuth из-за развертывания конкретной вредоносной угрозы под названием KerrDown, которая была обнаружена исключительно как часть его атак.

Чтобы закрепиться внутри своей цели, Bismuth создала очень подробные фишинговые электронные письма, адресованные конкретным сотрудникам в организациях. Хакеры собирали различные данные о выбранных лицах, прежде чем запускать поврежденные электронные письма. В некоторых случаях хакеры даже устанавливали связь со своими жертвами, чтобы завоевать доверие и создать гораздо более правдоподобную историю. На начальных этапах атаки Висмут использовал технику, известную как боковая загрузка DLL, при которой хакеры используют старые приложения и вынуждают их загружать поврежденную DLL, подменяющую законный файл. Хакеры злоупотребляют такими приложениями, как Microsoft Word 2007, сканер McAffee, Microsoft Defender и инструмент Sysinternals DebugView.

Чтобы скрыть свои истинные намерения, хакеры Bismuth запустили полезную нагрузку для майнинга Monero на взломанных машинах. Хотя майнеры не смогли заработать кучу денег, они выполнили свою задачу, отвлекшись от деятельности группы по сбору данных.

Висмут изучает свои цели

Оказавшись внутри выбранной машины, хакеры Bismuth не торопятся, прежде чем нанести удар. Сообщается, что группа около месяца скрывалась внутри скомпрометированной сети, ища и определяя наиболее полезные компьютеры для распространения. В течение этого периода злоумышленник собирал различные данные, в том числе сведения о домене и локальном администраторе, информацию об устройстве и привилегиях пользователя, доступных в локальных системах.

Активность внутри скомпрометированной сети прошла несколько этапов, начиная с попыток сбора учетных данных из баз данных Security Account Manager (SAM), а также информации о доменной группе и пользователе. После первоначального сбора данных злоумышленник пытается использовать инструментарий управления Windows (WMI) для подключения к дополнительным устройствам. На последнем этапе процесса хакеры устанавливают маяк CobaltStrike с помощью боковой загрузки DLL.