บิสมัท APT

กลุ่มการคุกคามแบบต่อเนื่องขั้นสูง (APT) ที่ดำเนินมายาวนานที่ชื่อ Bismuth ได้รับการสังเกตเห็นว่าพยายามซ่อนกิจกรรมของตนเมื่อเร็วๆ นี้โดยปรับใช้เพย์โหลดของ crypto-miner ไปยังเป้าหมายของพวกเขา ในภูมิทัศน์ของ infosec การดำเนินการขุด crypto ถือเป็นปัญหาที่ไม่สำคัญ และมักจะกระตุ้นการตอบสนองที่เงียบกว่าเมื่อเปรียบเทียบกับกรณีของการจารกรรมทางไซเบอร์หรือการติดตั้งแรนซัมแวร์

ความเชี่ยวชาญพิเศษหลักของบิสมัทคือการดำเนินการของแคมเปญการเก็บข้อมูลและการโจมตีจารกรรม กลุ่มนี้เริ่มดำเนินการมาตั้งแต่ปี 2555 เป็นอย่างน้อย และในช่วงเวลานั้น เครื่องมือ เทคนิค และขั้นตอนต่างๆ ของกลุ่มก็มีการพัฒนาทั้งในด้านความซับซ้อนและช่วงอย่างต่อเนื่อง คลังแสงของกลุ่มประกอบด้วยมัลแวร์ที่ทำเองรวมกับเครื่องมือโอเพนซอร์ซ เหยื่อของพวกเขามาจากหลากหลายภาคส่วนอุตสาหกรรม รวมถึงหน่วยงานระหว่างประเทศ บริษัทที่ให้บริการทางการเงิน หน่วยงานของรัฐและหน่วยงาน ตลอดจนสถาบันการศึกษา อย่างไรก็ตาม เป้าหมายที่ต้องการของพวกเขายังคงเป็นองค์กรด้านสิทธิมนุษยชนและสิทธิมนุษยชนอย่างถาวร

บิสมัทใช้การขุด Crypto เป็นตัวล่อ

ในการรณรงค์ครั้งล่าสุด กลุ่มดังกล่าวได้โจมตีเป้าหมายทั้งภาครัฐและเอกชนในฝรั่งเศสและเวียดนาม การดำเนินการดังกล่าวเกิดจากบิสมัทเนื่องจากการปรับใช้ภัยคุกคามมัลแวร์เฉพาะชื่อ KerrDown ซึ่งตรวจพบว่าเป็นส่วนหนึ่งของการโจมตีโดยเฉพาะ

เพื่อให้ได้ฐานที่มั่นในเป้าหมาย บิสมัทได้สร้างอีเมลฟิชชิ่งที่มีรายละเอียดสูงซึ่งส่งตรงไปยังพนักงานที่เฉพาะเจาะจงภายในองค์กร แฮกเกอร์รวบรวมข้อมูลต่างๆ เกี่ยวกับบุคคลที่เลือกก่อนที่จะเผยแพร่อีเมลที่เสียหาย ในบางกรณี แฮ็กเกอร์ยังสร้างการสื่อสารกับเหยื่อเพื่อสร้างความไว้วางใจและสร้างเรื่องราวที่น่าเชื่อถือยิ่งขึ้น ในระยะเริ่มต้นของการโจมตี Bismuth ใช้เทคนิคที่เรียกว่า DLL side-loading ซึ่งพบแฮกเกอร์ที่ใช้ประโยชน์จากแอพพลิเคชั่นรุ่นเก่าและบังคับให้โหลด DLL ที่เสียหายซึ่งปลอมแปลงไฟล์ที่ถูกต้อง แอปพลิเคชันที่พบว่าถูกใช้โดยแฮกเกอร์ ได้แก่ Microsoft Word 2007, สแกนเนอร์ McAffee, Microsoft Defender และเครื่องมือ Sysinternals DebugView

เพื่อซ่อนเจตนาที่แท้จริงของพวกเขา แฮกเกอร์ Bismuth ได้ดำเนินการโหลดข้อมูลการขุดเข้ารหัสของ Monero บนเครื่องที่ถูกบุกรุก ในขณะที่คนงานเหมืองไม่สามารถสร้างรายได้มากมาย แต่พวกเขาก็มีจุดมุ่งหมายในการหลีกเลี่ยงความสนใจจากกิจกรรมการเก็บเกี่ยวข้อมูลของกลุ่ม

บิสมัทศึกษาเป้าหมาย

เมื่อเข้าไปในเครื่องที่เลือก แฮกเกอร์ Bismuth จะใช้เวลาก่อนที่จะโจมตี มีรายงานว่ากลุ่มนี้ซุ่มซ่อนอยู่ในเครือข่ายที่ถูกบุกรุกเป็นเวลาประมาณหนึ่งเดือน โดยทำการค้นหาและระบุคอมพิวเตอร์ที่มีประโยชน์ที่สุดที่จะแพร่กระจายไปยัง ในช่วงเวลานี้ ผู้คุกคามจะรวบรวมข้อมูลต่างๆ รวมถึงรายละเอียดโดเมนและผู้ดูแลระบบในพื้นที่ ข้อมูลอุปกรณ์ และสิทธิ์ของผู้ใช้ที่มีอยู่ในระบบภายใน

กิจกรรมภายในเครือข่ายที่ถูกบุกรุกได้ดำเนินไปตามขั้นตอนต่างๆ เริ่มต้นด้วยการพยายามรวบรวมข้อมูลประจำตัวจากฐานข้อมูล Security Account Manager (SAM) ตลอดจนข้อมูลเกี่ยวกับกลุ่มโดเมนและผู้ใช้ หลังจากการรวบรวมข้อมูลเบื้องต้น ผู้คุกคามพยายามใช้ประโยชน์จาก Windows Management Instrumentation (WMI) เพื่อเชื่อมต่อกับอุปกรณ์เพิ่มเติม ขั้นตอนสุดท้ายของกระบวนการคือแฮกเกอร์ติดตั้งบีคอน CobaltStrike ผ่านการโหลดด้านข้างของ DLL