Bizmut APT

Bizmut APT Popis

Dlhodobo fungujúca skupina Advanced Persistent Threat (APT) s názvom Bismuth bola pozorovaná, ako sa nedávno snažila skryť svoje aktivity tým, že na svoje ciele nasadila užitočné zaťaženie kryptomeny. V prostredí infosec sa operácie ťažby kryptomien považujú za nekritické problémy a zvyčajne vyvolávajú tlmenejšiu odozvu v porovnaní s prípadmi kyberšpionáže alebo nasadenia ransomvéru.

Hlavnou špecializáciou spoločnosti Bismuth bolo vedenie kampaní na zbieranie údajov a špionážne útoky. Skupina funguje minimálne od roku 2012 a počas tohto obdobia sa jej nástroje, techniky a postupy neustále vyvíjali v komplexnosti aj rozsahu. Arzenál skupiny tvorí malvér vyrobený na mieru v kombinácii s open-source nástrojmi. Ich obete pochádzajú zo širokej škály priemyselných odvetví vrátane medzinárodných subjektov, spoločností ponúkajúcich finančné služby, vládnych subjektov a agentúr, ako aj vzdelávacích inštitúcií. Ich uprednostňovaným cieľom však boli organizácie pre ľudské práva a občianske práva.

Bizmut využíva ťažbu kryptomien ako návnadu

Vo svojej nedávnej kampani skupina kompromitovala súkromné a vládne ciele vo Francúzsku a Vietname. Operácia bola pripísaná Bismuthovi kvôli nasadeniu konkrétnej malvérovej hrozby s názvom KerrDown, ktorá bola zistená výlučne v rámci jej útokov.

Aby Bismuth získal oporu vo svojom cieli, vytvoril veľmi podrobné e-maily typu spear-phishing určené konkrétnym zamestnancom v rámci organizácií. Hackeri pred spustením poškodených e-mailov zhromaždili rôzne údaje o vybraných jednotlivcoch. V niektorých prípadoch hackeri dokonca nadviazali komunikáciu so svojimi obeťami, aby si vybudovali dôveru a vytvorili oveľa dôveryhodnejší príbeh. V počiatočných fázach útoku použil Bismuth techniku známu ako DLL side-loading, pri ktorej hackeri využívajú staršie aplikácie a nútia ich načítať poškodenú knižnicu DLL, ktorá falšuje legitímny súbor. Aplikácie, ktoré boli pozorované ako zneužité hackermi, sú Microsoft Word 2007, skener McAffee, Microsoft Defender a nástroj Sysinternals DebugView.

Aby skryli svoje skutočné úmysly, hackeri Bismuth vykonali na napadnutých strojoch užitočné zaťaženie kryptomeny Monero. Aj keď baníci neboli schopní vygenerovať tony peňazí, splnili svoj účel, keď odvrátili pozornosť od aktivít skupiny na zber údajov.

Bizmut študuje svoje ciele

Keď sa hackeri Bismuth dostanú do vybraného stroja, dajú si čas, kým zaútočia. Skupina údajne číhala asi mesiac v napadnutej sieti a hľadala a identifikovala najužitočnejšie počítače, do ktorých by sa mohla šíriť. Počas tohto obdobia aktér hrozby zhromaždil rôzne údaje vrátane podrobností o doméne a lokálnom správcovi, informácií o zariadení a používateľských privilégiách dostupných na lokálnych systémoch.

Aktivita vo vnútri ohrozenej siete prešla niekoľkými fázami, počnúc pokusmi o zhromaždenie poverení z databáz Security Account Manager (SAM), ako aj informácií o skupine domén a používateľovi. Po počiatočnom zbere údajov sa aktér hrozby pokúsi využiť Windows Management Instrumentation (WMI) na pripojenie k ďalším zariadeniam. Posledným krokom procesu je, že hackeri nainštalujú maják CobaltStrike prostredníctvom bočného načítania DLL.