Bismuth APT
Isang matagal nang Advanced Persistent Threat (APT) na grupo na tinatawag na Bismuth ang naobserbahang sinusubukang itago ang mga aktibidad nito kamakailan sa pamamagitan ng pag-deploy ng crypto-miner payload sa kanilang mga target. Sa infosec landscape, ang mga operasyon ng crypto-mining ay itinuturing na hindi kritikal na mga isyu at kadalasang nagdudulot ng mas mahinang tugon kung ihahambing sa mga kaso ng cyber-espionage o ang deployment ng ransomware.
Ang pangunahing espesyalisasyon ni Bismuth ay ang pagsasagawa ng data-harvesting at espionage attack campaign. Ang grupo ay gumagana mula noong hindi bababa sa 2012, at sa panahong iyon, ang kanilang mga tool, diskarte, at pamamaraan ay patuloy na nagbabago sa pagiging kumplikado at saklaw. Ang arsenal ng grupo ay binubuo ng custom-made na malware na sinamahan ng mga open-source na tool. Ang kanilang mga biktima ay nagmula sa malawak na hanay ng mga sektor ng industriya, kabilang ang mga internasyonal na entidad, mga kumpanyang nag-aalok ng mga serbisyong pinansyal, mga entidad at ahensya ng gobyerno, pati na rin ang mga institusyong pang-edukasyon. Ang kanilang ginustong mga target, gayunpaman, ay walang hanggang mga organisasyon ng karapatang pantao at sibil.
Gumagamit ang Bismuth ng Crypto-Mining bilang isang Decoy
Sa kanilang kamakailang kampanya, nakompromiso ng grupo ang mga target ng pribado at gobyerno na matatagpuan sa France at Vietnam. Ang operasyon ay naiugnay sa Bismuth dahil sa pag-deploy ng isang partikular na banta ng malware na pinangalanang KerrDown, na natukoy bilang bahagi lamang ng mga pag-atake nito.
Para magkaroon ng foothold sa loob ng target nito, gumawa si Bismuth ng napakadetalyadong mga email ng spear-phishing na nakadirekta sa mga partikular na empleyado sa loob ng mga organisasyon. Ang mga hacker ay nagtipon ng iba't ibang data tungkol sa mga napiling indibidwal bago maglunsad ng mga sirang email. Sa ilang mga kaso, ang mga hacker ay nagtatag ng komunikasyon sa kanilang mga biktima upang bumuo ng tiwala at lumikha ng isang mas kapani-paniwalang kuwento. Sa mga paunang yugto ng pag-atake, gumamit si Bismuth ng isang pamamaraan na kilala bilang DLL side-loading, na nakikitang sinasamantala ng mga hacker ang mas lumang mga application at pinipilit silang mag-load ng isang sira na DLL na nanloloko ng isang lehitimong file. Ang mga application na naobserbahan bilang inaabuso ng mga hacker ay ang Microsoft Word 2007, McAffee scanner, Microsoft Defender at ang Sysinternals DebugView tool.
Upang itago ang kanilang tunay na intensyon, ang mga hacker ng Bismuth ay nagsagawa ng Monero crypto-mining payload sa mga nakompromisong makina. Bagama't hindi nakagawa ng isang toneladang pera ang mga minero, natupad nila ang kanilang layunin sa pag-iwas sa atensyon mula sa mga aktibidad sa pag-aani ng data ng grupo.
Pinag-aaralan ng Bismuth ang Mga Target Nito
Pagdating sa loob ng napiling makina, ang mga Bismuth hackers ay naglalaan ng oras bago mag-strike. Ang grupo ay iniulat na nagkukubli sa loob ng humigit-kumulang isang buwan sa loob ng nakompromisong network, naghahanap at tinutukoy ang mga pinakakapaki-pakinabang na computer na makakalat. Sa panahong ito, nangongolekta ang aktor ng pagbabanta ng iba't ibang data, kabilang ang mga detalye ng domain at lokal na administrator, impormasyon ng device, at mga pribilehiyo ng user na available sa mga lokal na system.
Ang aktibidad sa loob ng nakompromisong network ay lumipat sa maraming yugto, simula sa mga pagtatangka na mangolekta ng mga kredensyal mula sa mga database ng Security Account Manager (SAM), pati na rin ang impormasyon tungkol sa pangkat ng domain at user. Pagkatapos ng paunang pag-aani ng data, sinusubukan ng threat actor na gamitin ang Windows Management Instrumentation (WMI) para kumonekta sa mga karagdagang device. Ang huling hakbang ng proseso ay nakikita ng mga hacker na nag-i-install ng CobaltStrike beacon sa pamamagitan ng DLL side-loading.
