Вісмут APT

Нещодавно було помічено, що довготривала група Advanced Persistent Threat (APT) під назвою Bismuth намагається приховати свою діяльність, розгортаючи корисне навантаження крипто-майнера на свої цілі. У ландшафті Infosec операції криптомайнінгу вважаються некритичними проблемами і зазвичай викликають більш приглушену реакцію в порівнянні з випадками кібершпигунажу або розгортання програм-вимагачів.

Основною спеціалізацією Вісмута було проведення кампаній зі збору даних і шпигунських атак. Група функціонує принаймні з 2012 року, і протягом цього періоду її інструменти, методи та процедури постійно розвивалися як у складності, так і в діапазоні. Арсенал групи складається зі спеціального шкідливого програмного забезпечення в поєднанні з інструментами з відкритим кодом. Їхні жертви стають з різних галузей промисловості, включаючи міжнародні організації, компанії, що пропонують фінансові послуги, державні установи та установи, а також навчальні заклади. Проте їхніми улюбленими цілями назавжди залишалися правозахисні організації та організації громадян.

Вісмут використовує крипто-майнінг як приманку

Під час своєї нещодавньої кампанії група скомпрометувала приватні та державні цілі, розташовані у Франції та В’єтнамі. Операція була пов’язана з Bismuth через розгортання конкретної загрози зловмисного програмного забезпечення під назвою KerrDown, яка була виявлена виключно в рамках її атак.

Щоб закріпитися всередині своєї мети, Бісмут створив дуже деталізовані фішингові електронні листи, спрямовані на конкретних співробітників в організації. Хакери зібрали різні дані про вибраних осіб, перш ніж запускати пошкоджені електронні листи. У деяких випадках хакери навіть налагоджували спілкування зі своїми жертвами, щоб зміцнити довіру та створити набагато більш правдоподібну історію. На початкових етапах атаки Бісмут використовував техніку, відому як бічне завантаження DLL, за допомогою якої хакери експлуатують старі програми та змушують їх завантажувати пошкоджену DLL, яка підробляє законний файл. Хакери зловживали програмами: Microsoft Word 2007, сканер McAffee, Microsoft Defender та інструмент Sysinternals DebugView.

Щоб приховати свої справжні наміри, хакери Bismuth запустили корисне навантаження для криптомайнінгу Monero на зламаних машинах. Хоча майнери не змогли заробити купу грошей, вони послужили своїй меті, відвернувши увагу від діяльності групи зі збору даних.

Вісмут вивчає свої цілі

Потрапивши у вибрану машину, хакери Bismuth не поспішають завдати удару. Повідомляється, що група ховається близько місяця в скомпрометованій мережі, шукає та визначає найкорисніші комп’ютери для поширення. Протягом цього періоду зловмисник збирав різноманітні дані, зокрема відомості про домен і локального адміністратора, інформацію про пристрій і привілеї користувачів, доступні в локальних системах.

Діяльність всередині зламаної мережі проходила через кілька етапів, починаючи зі спроб зібрати облікові дані з баз даних Security Account Manager (SAM), а також інформацію про групу домену та користувача. Після первинного збору даних зловмисник намагається використовувати інструментарій керування Windows (WMI) для підключення до додаткових пристроїв. На останньому етапі процесу хакери встановлюють маяк CobaltStrike через бічне завантаження DLL.