Bismuth APT

一个名为 Bismuth 的长期运行的高级持续威胁 (APT) 组织最近被观察到试图通过向其目标部署加密矿工有效载荷来隐藏其活动。在信息安全领域，加密挖掘操作被视为非关键问题，与网络间谍或勒索软件部署相比，通常会引起更温和的反应。

Bismuth 的主要专长是进行数据收集和间谍攻击活动。该小组至少从 2012 年开始运作，在此期间，他们的工具、技术和程序在复杂性和范围上都在稳步发展。该组织的武器库包括与开源工具相结合的定制恶意软件。他们的受害者来自广泛的行业部门，包括国际实体、提供金融服务的公司、政府实体和机构以及教育机构。然而，他们的首选目标一直是人权和民权组织。

铋使用加密挖掘作为诱饵

在他们最近的活动中，该组织破坏了位于法国和越南的私人和政府目标。由于部署了名为 KerrDown 的特定恶意软件威胁，该操作被归因于 Bismuth，该威胁已被检测为其攻击的一部分。

为了在其目标中站稳脚跟，Bismuth 精心制作了针对组织内特定员工的高度详细的鱼叉式网络钓鱼电子邮件。黑客在发送损坏的电子邮件之前收集了有关选定个人的各种数据。在某些情况下，黑客甚至与受害者建立沟通以建立信任并创造一个更可信的故事。在攻击的初始阶段，Bismuth 使用了一种称为 DLL 侧加载的技术，该技术可以看到黑客利用旧应用程序并强迫他们加载欺骗合法文件的损坏的 DLL。被黑客滥用的应用程序包括 Microsoft Word 2007、McAffee 扫描程序、Microsoft Defender 和 Sysinternals DebugView 工具。

为了隐藏他们的真实意图，Bismuth 黑客在受感染的机器上执行了 Monero 加密挖掘有效载荷。虽然矿工无法产生大量资金，但他们的目的是避免人们对集团数据收集活动的关注。

铋研究其目标

一旦进入选定的机器，Bismuth 黑客就会在发动攻击之前花点时间。据报道，该组织在受感染的网络中潜伏了大约一个月，搜索并确定要传播到的最有用的计算机。在此期间，攻击者收集了各种数据，包括域和本地管理员详细信息、设备信息以及本地系统上可用的用户权限。

受感染网络内部的活动经历了几个阶段，首先是尝试从安全帐户管理器 (SAM) 数据库收集凭据，以及有关域组和用户的信息。在初始数据收集后，威胁行为者会尝试利用 Windows Management Instrumentation (WMI) 连接到其他设备。该过程的最后一步是黑客通过 DLL 侧加载安装 CobaltStrike 信标。