Bismuth APT

Một nhóm Mối đe dọa liên tục nâng cao (APT) lâu dài có tên là Bismuth đã được quan sát thấy gần đây đang cố gắng che giấu các hoạt động của mình bằng cách triển khai khối lượng công cụ khai thác tiền điện tử tới các mục tiêu của họ. Trong bối cảnh infosec, các hoạt động khai thác tiền điện tử được coi là vấn đề không quan trọng và thường gây ra phản ứng nhẹ nhàng hơn khi so sánh với các trường hợp gián điệp mạng hoặc triển khai ransomware.

Chuyên môn chính của Bismuth là tiến hành các chiến dịch thu thập dữ liệu và tấn công gián điệp. Nhóm này đã hoạt động ít nhất từ năm 2012, và trong khoảng thời gian đó, các công cụ, kỹ thuật và thủ tục của họ đã phát triển ổn định cả về độ phức tạp và phạm vi. Kho vũ khí của nhóm bao gồm phần mềm độc hại tùy chỉnh kết hợp với các công cụ nguồn mở. Nạn nhân của họ đến từ nhiều lĩnh vực công nghiệp, bao gồm các tổ chức quốc tế, các công ty cung cấp dịch vụ tài chính, các tổ chức và cơ quan chính phủ, cũng như các tổ chức giáo dục. Tuy nhiên, mục tiêu ưa thích của họ lâu dài vẫn là các tổ chức nhân quyền và dân quyền.

Bismuth sử dụng khai thác tiền điện tử làm mồi nhử

Trong chiến dịch gần đây hơn, nhóm này đã xâm phạm các mục tiêu tư nhân và chính phủ ở Pháp và Việt Nam. Hoạt động này được quy cho Bismuth do việc triển khai một mối đe dọa phần mềm độc hại cụ thể có tên là KerrDown, đã được phát hiện là một phần của các cuộc tấn công độc quyền.

Để có được chỗ đứng trong lòng mục tiêu của mình, Bismuth đã tạo ra các email lừa đảo có độ chi tiết cao nhằm vào các nhân viên cụ thể trong tổ chức. Các tin tặc đã thu thập nhiều dữ liệu khác nhau về các cá nhân được chọn trước khi tung ra các email bị hỏng. Trong một số trường hợp, các tin tặc thậm chí còn thiết lập liên lạc với nạn nhân của chúng để tạo niềm tin và tạo ra một câu chuyện đáng tin hơn nhiều. Trong giai đoạn đầu của cuộc tấn công, Bismuth đã sử dụng một kỹ thuật được gọi là tải bên DLL, cho phép tin tặc khai thác các ứng dụng cũ hơn và buộc chúng tải một tệp DLL bị hỏng đang giả mạo một tệp hợp pháp. Các ứng dụng bị tin tặc lạm dụng là Microsoft Word 2007, máy quét McAffee, Microsoft Defender và công cụ Sysinternals DebugView.

Để che giấu ý định thực sự của mình, các tin tặc Bismuth đã thực hiện một tải trọng khai thác tiền điện tử Monero trên các máy bị xâm nhập. Mặc dù các thợ đào không thể tạo ra hàng tấn tiền, nhưng họ đã phục vụ mục đích của mình là tránh sự chú ý khỏi các hoạt động thu thập dữ liệu của nhóm.

Nghiên cứu Bismuth Mục tiêu của nó

Khi vào bên trong máy được chọn, tin tặc Bismuth sẽ mất thời gian trước khi tấn công. Nhóm này được báo cáo là đã ẩn nấp khoảng một tháng trong mạng bị xâm nhập, tìm kiếm và xác định các máy tính hữu ích nhất để phát tán. Trong khoảng thời gian này, kẻ đe dọa đã thu thập nhiều dữ liệu khác nhau, bao gồm thông tin chi tiết về miền và quản trị viên cục bộ, thông tin thiết bị và các đặc quyền của người dùng có sẵn trên các hệ thống cục bộ.

Hoạt động bên trong mạng bị xâm nhập diễn ra qua nhiều giai đoạn, bắt đầu bằng nỗ lực thu thập thông tin xác thực từ cơ sở dữ liệu Trình quản lý tài khoản bảo mật (SAM), cũng như thông tin về nhóm miền và người dùng. Sau khi thu thập dữ liệu ban đầu, kẻ đe dọa sẽ cố gắng tận dụng Công cụ quản lý Windows (WMI) để kết nối với các thiết bị bổ sung. Bước cuối cùng của quá trình này cho thấy tin tặc cài đặt một báo hiệu CobaltStrike thông qua tải bên DLL.