Bizmut APT

Dolgoletna skupina za napredno obstojno grožnjo (APT), imenovana Bizmut, je bila opažena, da je pred kratkim poskušala prikriti svoje dejavnosti z namestitvijo koristnega tovora kripto-rudarja na svoje cilje. V okolju infosec se operacije kripto-rudarstva obravnavajo kot nekritična vprašanja in običajno izzovejo bolj umirjen odziv v primerjavi s primeri kibernetskega vohunjenja ali uvedbe izsiljevalne programske opreme.

Bismuthova glavna specializacija je bilo vodenje kampanj zbiranja podatkov in vohunskih napadov. Skupina deluje vsaj od leta 2012 in v tem obdobju so se njihova orodja, tehnike in postopki nenehno razvijali tako v kompleksnosti kot v obsegu. Arzenal skupine sestavlja zlonamerna programska oprema, izdelana po meri, v kombinaciji z odprtokodnimi orodji. Njihove žrtve prihajajo iz širokega nabora industrijskih sektorjev, vključno z mednarodnimi subjekti, podjetji, ki ponujajo finančne storitve, vladnimi subjekti in agencijami ter izobraževalnimi ustanovami. Njihove prednostne tarče pa so bile trajno organizacije za človekove in državljanske pravice.

Bizmut uporablja kripto rudarjenje kot vabo

V svoji novejši kampanji je skupina ogrozila zasebne in vladne cilje v Franciji in Vietnamu. Operacija je bila pripisana Bismuthu zaradi uvedbe posebne grožnje zlonamerne programske opreme z imenom KerrDown, ki je bila zaznana izključno kot del njenih napadov.

Da bi se uveljavil v svojem cilju, je Bismuth izdelal zelo podrobna e-poštna sporočila o lažnem predstavljanju, namenjena določenim zaposlenim v organizacijah. Hekerji so zbrali različne podatke o izbranih posameznikih, preden so objavili poškodovano elektronsko pošto. V nekaterih primerih so hekerji celo vzpostavili komunikacijo s svojimi žrtvami, da bi zgradili zaupanje in ustvarili veliko bolj verodostojno zgodbo. V začetnih fazah napada je Bismuth uporabil tehniko, znano kot stransko nalaganje DLL, ki vidi, da hekerji izkoriščajo starejše aplikacije in jih prisilijo, da naložijo poškodovano DLL, ki ponareja zakonito datoteko. Aplikacije, za katere so opazili, da jih hekerji zlorabljajo, so Microsoft Word 2007, McAffee scanner, Microsoft Defender in orodje Sysinternals DebugView.

Da bi prikrili svoje resnične namene, so hekerji Bismuth na ogroženih strojih izvedli koristno obremenitev za kripto rudarjenje Monero. Medtem ko rudarji niso mogli ustvariti tone denarja, so služili svojemu namenu pri odvrnitvi pozornosti od dejavnosti zbiranja podatkov skupine.

Bizmut preučuje svoje cilje

Ko so v izbranem stroju, si hekerji Bizmuta vzamejo čas, preden udarijo. Poročajo, da skupina približno mesec dni preži v ogroženem omrežju, išče in identificira najbolj uporabne računalnike za širjenje. V tem obdobju je akter grožnje zbiral različne podatke, vključno s podrobnostmi o domeni in lokalnem skrbniku, podatki o napravi in privilegiji uporabnikov, ki so na voljo v lokalnih sistemih.

Dejavnost znotraj ogroženega omrežja je potekala skozi več stopenj, začenši s poskusi zbiranja poverilnic iz baz podatkov Security Account Manager (SAM) ter informacij o skupini domene in uporabniku. Po začetnem zbiranju podatkov akter grožnje poskuša uporabiti instrument za upravljanje sistema Windows (WMI) za povezavo z dodatnimi napravami. Zadnji korak postopka je, da hekerji namestijo svetilko CobaltStrike prek stranskega nalaganja DLL.