Bismuth APT

En långvarig Advanced Persistent Threat (APT)-grupp som heter Bismuth har observerats försöka dölja sina aktiviteter nyligen genom att distribuera en kryptominer-nyttolast till sina mål. I infosec-landskapet betraktas kryptomining som icke-kritiska frågor och brukar framkalla en mer dämpad respons jämfört med fall av cyberspionage eller utplacering av ransomware.

Bismuths huvudsakliga specialisering har varit att genomföra datainsamling och spionageattackkampanjer. Gruppen har varit funktionell sedan åtminstone 2012, och under den perioden har deras verktyg, tekniker och procedurer utvecklats i både komplexitet och omfattning stadigt. Gruppens arsenal består av skräddarsydd skadlig programvara i kombination med verktyg med öppen källkod. Deras offer kommer från en lång rad industrisektorer, inklusive internationella enheter, företag som erbjuder finansiella tjänster, statliga enheter och myndigheter, såväl som utbildningsinstitutioner. Deras föredragna mål har dock alltid varit människorätts- och medborgarrättsorganisationer.

Vismut använder kryptomining som ett lockbete

I sin nyare kampanj kompromissade gruppen privata och statliga mål i Frankrike och Vietnam. Operationen tillskrevs Bismuth på grund av utplaceringen av ett särskilt hot mot skadlig programvara som heter KerrDown, som har upptäckts som en del av dess attacker exklusivt.

För att få fotfäste inom sitt mål, skapade Bismuth mycket detaljerade spear-phishing-e-postmeddelanden riktade till specifika anställda inom organisationerna. Hackarna samlade in olika data om de utvalda individerna innan de skickade korrupta e-postmeddelanden. I vissa fall etablerade hackarna till och med kommunikation med sina offer för att bygga upp förtroende och skapa en mycket mer trovärdig historia. I de inledande stadierna av attacken använde Bismuth en teknik som kallas DLL-sidoladdning, som ser att hackare utnyttjar äldre applikationer och tvingar dem att ladda en skadad DLL som spoofar en legitim fil. Applikationer som observerats missbrukas av hackarna är Microsoft Word 2007, McAffee scanner, Microsoft Defender och Sysinternals DebugView-verktyget.

För att dölja sina sanna avsikter utförde Bismuth-hackerna en Monero-krypteringsnyttolast på de komprometterade maskinerna. Även om gruvarbetarna inte kunde generera massor av pengar, tjänade de sitt syfte att avvärja uppmärksamheten från gruppens datainsamlingsaktiviteter.

Vismut studerar dess mål

Väl inne i den valda maskinen tar sig Bismuth-hackarna tid innan de slår till. Gruppen rapporteras ha lurat i ungefär en månad i det komprometterade nätverket och letat och identifierat de mest användbara datorerna att sprida sig till. Under denna period samlade hotaktören in olika data, inklusive domän- och lokaladministratörsinformation, enhetsinformation och användarbehörigheter tillgängliga på lokala system.

Aktiviteten i det komprometterade nätverket gick igenom flera stadier, som började med försök att samla in autentiseringsuppgifter från Security Account Manager-databaser (SAM) samt information om domängruppen och användaren. Efter den första datainsamlingen försöker hotaktören utnyttja Windows Management Instrumentation (WMI) för att ansluta till ytterligare enheter. I det sista steget i processen installerar hackarna en CobaltStrike-beacon via DLL-sidoladdning.