Bismuth APT

一個名為 Bismuth 的長期運行的高級持續威脅 (APT) 組織最近被觀察到試圖通過向其目標部署加密礦工有效載荷來隱藏其活動。在信息安全領域，加密挖掘操作被視為非關鍵問題，與網絡間諜或勒索軟件部署相比，通常會引起更溫和的反應。

Bismuth 的主要專長是進行數據收集和間諜攻擊活動。該小組至少從 2012 年開始運作，在此期間，他們的工具、技術和程序在復雜性和範圍上都在穩步發展。該組織的武器庫包括與開源工具相結合的定制惡意軟件。他們的受害者來自廣泛的行業部門，包括國際實體、提供金融服務的公司、政府實體和機構以及教育機構。然而，他們的首選目標一直是人權和民權組織。

鉍使用加密挖掘作為誘餌

在他們最近的活動中，該組織破壞了位於法國和越南的私人和政府目標。由於部署了名為 KerrDown 的特定惡意軟件威脅，該操作被歸因於 Bismuth，該威脅已被檢測為其攻擊的一部分。

為了在其目標中站穩腳跟，Bismuth 精心製作了針對組織內特定員工的高度詳細的魚叉式網絡釣魚電子郵件。黑客在發送損壞的電子郵件之前收集了有關選定個人的各種數據。在某些情況下，黑客甚至與受害者建立溝通以建立信任並創造一個更可信的故事。在攻擊的初始階段，Bismuth 使用了一種稱為 DLL 側加載的技術，該技術可以看到黑客利用舊應用程序並強迫他們加載欺騙合法文件的損壞的 DLL。被黑客濫用的應用程序包括 Microsoft Word 2007、McAffee 掃描程序、Microsoft Defender 和 Sysinternals DebugView 工具。

為了隱藏他們的真實意圖，Bismuth 黑客在受感染的機器上執行了 Monero 加密挖掘有效載荷。雖然礦工無法產生大量資金，但他們的目的是避免人們對集團數據收集活動的關注。

鉍研究其目標

一旦進入選定的機器，Bismuth 黑客就會在發動攻擊之前花點時間。據報導，該組織在受感染的網絡中潛伏了大約一個月，搜索並確定要傳播到的最有用的計算機。在此期間，攻擊者收集了各種數據，包括域和本地管理員詳細信息、設備信息以及本地系統上可用的用戶權限。

受感染網絡內部的活動經歷了幾個階段，首先是嘗試從安全帳戶管理器 (SAM) 數據庫收集憑據，以及有關域組和用戶的信息。在初始數據收集後，威脅行為者會嘗試利用 Windows Management Instrumentation (WMI) 連接到其他設備。該過程的最後一步是黑客通過 DLL 側加載安裝 CobaltStrike 信標。