Бизмут АПТ

Дуготрајна група за напредну трајну претњу (АПТ) под називом Бизмут је недавно примећена како покушава да сакрије своје активности тако што је користила крипто-рударе на своје мете. У окружењу инфосец, операције крипто рударења се сматрају некритичним проблемима и обично изазивају пригушенији одговор у поређењу са случајевима сајбер шпијунаже или примене рансомвера.

Бизмутова главна специјализација била је вођење кампања прикупљања података и шпијунских напада. Група је функционална од најмање 2012. године, а током тог периода, њихови алати, технике и процедуре су се стално развијали у сложености и опсегу. Арсенал групе састоји се од малвера направљеног по мери у комбинацији са алатима отвореног кода. Њихове жртве долазе из широког низа индустријских сектора, укључујући међународне субјекте, компаније које нуде финансијске услуге, владине субјекте и агенције, као и образовне институције. Њихове омиљене мете су, међутим, трајно биле организације за људска права и грађанска права.

Бизмут користи крипто рударење као мамац

У својој новијој кампањи, група је угрозила приватне и државне мете у Француској и Вијетнаму. Операција је приписана Бизмуту због примене одређене претње од малвера под називом КеррДовн, која је откривена искључиво као део њених напада.

Да би стекао упориште унутар своје мете, Бисмут је направио веома детаљне е-поруке за крађу идентитета усмерене на одређене запослене у организацијама. Хакери су прикупили различите податке о одабраним појединцима пре него што су покренули оштећене мејлове. У неким случајевима, хакери су чак успоставили комуникацију са својим жртвама како би изградили поверење и створили далеко уверљивију причу. У почетним фазама напада, Бисмут је користио технику познату као ДЛЛ бочно учитавање, која види да хакери искоришћавају старије апликације и приморавају их да учитају оштећени ДЛЛ који лажира легитимну датотеку. Апликације за које су приметили да су их хакери злоупотребили су Мицрософт Ворд 2007, МцАффее скенер, Мицрософт Дефендер и алатка Сисинтерналс ДебугВиев.

Да би сакрили своје праве намере, Бизмут хакери су извршили крипто рударење Монеро на компромитованим машинама. Иако рудари нису били у стању да генеришу тону новца, служили су својој сврси у одвраћању пажње од групних активности прикупљања података.

Бизмут проучава своје мете

Када уђу у изабрану машину, бизмут хакери се одмарају пре него што нападну. Извештава се да група вреба око месец дана унутар угрожене мреже, тражећи и идентификујући најкорисније рачунаре на које се може проширити. Током овог периода, актер претње је прикупио различите податке, укључујући детаље о домену и локалном администратору, информације о уређају и корисничке привилегије доступне на локалним системима.

Активност унутар угрожене мреже одвијала се кроз неколико фаза, почевши од покушаја прикупљања акредитива из базе података Сецурити Аццоунт Манагер (САМ), као и информација о групи домена и кориснику. Након почетног прикупљања података, актер претње покушава да искористи Виндовс Манагемент Инструментатион (ВМИ) да се повеже са додатним уређајима. У последњем кораку процеса хакери инсталирају ЦобалтСтрике беацон преко ДЛЛ бочног учитавања.