Bismuth APT

Bismuth adlı uzun süredir devam eden Gelişmiş Kalıcı Tehdit (APT) grubunun, son zamanlarda hedeflerine bir kripto madenci yükü dağıtarak faaliyetlerini gizlemeye çalıştığı gözlemlendi. Bilgi güvenliği ortamında, kripto madenciliği operasyonları kritik olmayan konular olarak kabul edilir ve genellikle siber casusluk veya fidye yazılımının konuşlandırılması vakalarına kıyasla daha hafif bir yanıt verir.

Bizmut'un ana uzmanlığı, veri toplama ve casusluk saldırı kampanyalarının yürütülmesi olmuştur. Grup en az 2012'den beri çalışıyor ve bu süre zarfında araçları, teknikleri ve prosedürleri hem karmaşıklık hem de çeşitlilik açısından istikrarlı bir şekilde gelişiyor. Grubun cephaneliği, açık kaynaklı araçlarla birleştirilmiş özel yapım kötü amaçlı yazılımlardan oluşuyor. Kurbanları, uluslararası kuruluşlar, finansal hizmetler sunan şirketler, devlet kurumları ve kurumları ile eğitim kurumları da dahil olmak üzere çok çeşitli endüstri sektörlerinden gelmektedir. Ancak tercih ettikleri hedefler, kalıcı olarak insan ve sivil haklar örgütleri olmuştur.

Bizmut, Kripto Madenciliğini Tuzak Olarak Kullanıyor

Daha yakın tarihli kampanyalarında grup, Fransa ve Vietnam'da bulunan özel ve hükümet hedeflerini tehlikeye attı. Operasyon, yalnızca saldırılarının bir parçası olarak tespit edilen KerrDown adlı belirli bir kötü amaçlı yazılım tehdidinin konuşlandırılması nedeniyle Bismuth'a atfedildi.

Bismuth, hedefinde bir yer edinmek için kuruluşlardaki belirli çalışanlara yönelik son derece ayrıntılı mızraklı kimlik avı e-postaları hazırladı. Bilgisayar korsanları, bozuk e-postaları başlatmadan önce seçilen kişiler hakkında çeşitli veriler topladı. Bazı durumlarda, bilgisayar korsanları güven oluşturmak ve çok daha inandırıcı bir hikaye yaratmak için kurbanlarıyla iletişim bile kurdular. Saldırının ilk aşamalarında Bismuth, DLL yandan yükleme olarak bilinen ve bilgisayar korsanlarının eski uygulamaları sömürdüğünü ve onları meşru bir dosyayı taklit eden bozuk bir DLL dosyasını yüklemeye zorladığını gören bir teknik kullandı. Bilgisayar korsanları tarafından kötüye kullanıldığı gözlemlenen uygulamalar Microsoft Word 2007, McAffee tarayıcı, Microsoft Defender ve Sysinternals DebugView aracıdır.

Bizmut korsanları, gerçek niyetlerini gizlemek için, güvenliği ihlal edilmiş makinelerde bir Monero kripto madenciliği yükü yürüttü. Madenciler bir ton para üretemese de, dikkatleri grubun veri toplama faaliyetlerinden uzaklaştırarak amaçlarına hizmet ettiler.

Bizmut Hedeflerini İnceliyor

Seçilen makineye girdikten sonra, Bizmut korsanları saldırmadan önce biraz zaman alır. Grubun, güvenliği ihlal edilmiş ağ içinde yaklaşık bir aydır gizlendiği, yayılacak en kullanışlı bilgisayarları araştırdığı ve belirlediği bildirildi. Bu süre zarfında tehdit aktörü, etki alanı ve yerel yönetici ayrıntıları, cihaz bilgileri ve yerel sistemlerde bulunan kullanıcı ayrıcalıkları dahil olmak üzere çeşitli veriler topladı.

Güvenliği ihlal edilmiş ağ içindeki etkinlik, Güvenlik Hesabı Yöneticisi (SAM) veritabanlarından kimlik bilgilerinin yanı sıra etki alanı grubu ve kullanıcı hakkında bilgi toplama girişimleriyle başlayarak birkaç aşamadan geçti. İlk veri toplama işleminden sonra tehdit aktörü, ek cihazlara bağlanmak için Windows Yönetim Araçları'ndan (WMI) yararlanmaya çalışır. Sürecin son adımı, bilgisayar korsanlarının DLL yandan yükleme yoluyla bir CobaltStrike işaretçisi yüklediğini görür.