Bismut APT

Një grup afatgjatë i Kërcënimit të Përparuar të Përparuar (APT) i quajtur Bismuth është vërejtur duke u përpjekur të fshehë aktivitetet e tij kohët e fundit duke vendosur një ngarkesë kripto-minerash në objektivat e tyre. Në peizazhin infosec, operacionet e minierave të kriptove konsiderohen si çështje jo kritike dhe zakonisht shkaktojnë një përgjigje më të përmbajtur kur krahasohen me rastet e spiunazhit kibernetik ose vendosjes së ransomware.

Specializimi kryesor i Bismuth-it ka qenë kryerja e fushatave të grumbullimit të të dhënave dhe sulmeve të spiunazhit. Grupi ka qenë funksional të paktën që nga viti 2012, dhe gjatë asaj periudhe, mjetet, teknikat dhe procedurat e tyre kanë evoluar në mënyrë të qëndrueshme si në kompleksitet ashtu edhe në gamë. Arsenali i grupit përbëhet nga malware me porosi të kombinuara me mjete me burim të hapur. Viktimat e tyre vijnë nga një grup i gjerë sektorësh të industrisë, duke përfshirë entitete ndërkombëtare, kompani që ofrojnë shërbime financiare, entitete dhe agjenci qeveritare, si dhe institucione arsimore. Megjithatë, objektivat e tyre të preferuar kanë qenë vazhdimisht organizatat për të drejtat e njeriut dhe civile.

Bismuth përdor Crypto-Mining si një mashtrim

Në fushatën e tyre më të fundit, grupi komprometoi objektiva private dhe qeveritare të vendosura në Francë dhe Vietnam. Operacioni iu atribuua Bismuth për shkak të vendosjes së një kërcënimi të veçantë malware të quajtur KerrDown, i cili është zbuluar ekskluzivisht si pjesë e sulmeve të tij.

Për të fituar një terren brenda objektivit të tij, Bismuth krijoi emaile shumë të detajuara spear-phishing drejtuar punonjësve të veçantë brenda organizatave. Hakerët mblodhën të dhëna të ndryshme për individët e përzgjedhur përpara se të nisnin emailet e korruptuara. Në disa raste, hakerët madje vendosën komunikim me viktimat e tyre për të krijuar besim dhe për të krijuar një histori shumë më të besueshme. Në fazat fillestare të sulmit, Bismuth përdori një teknikë të njohur si DLL side-loading, e cila i sheh hakerët duke shfrytëzuar aplikacionet më të vjetra dhe duke i detyruar ata të ngarkojnë një DLL të korruptuar që po mashtron një skedar legjitim. Aplikacionet e vërejtura si të abuzuara nga hakerat janë Microsoft Word 2007, skaneri McAffee, Microsoft Defender dhe mjeti Sysinternals DebugView.

Për të fshehur qëllimet e tyre të vërteta, hakerët e Bismuth ekzekutuan një ngarkesë kripto-minerare Monero në makinat e komprometuara. Ndërsa minatorët nuk ishin në gjendje të gjeneronin një ton parash, ata i shërbyen qëllimit të tyre për të shmangur vëmendjen nga aktivitetet e grumbullimit të të dhënave të grupit.

Bismuti studion objektivat e tij

Pasi hyjnë në makinën e zgjedhur, hakerët e Bismuthit marrin kohën e tyre përpara se të godasin. Grupi raportohet se fshihet për rreth një muaj brenda rrjetit të komprometuar, duke kërkuar dhe identifikuar kompjuterët më të dobishëm për t'u përhapur. Gjatë kësaj periudhe, aktori i kërcënimit mblodhi të dhëna të ndryshme, duke përfshirë detajet e domenit dhe administratorit lokal, informacionin e pajisjes dhe privilegjet e përdoruesit të disponueshme në sistemet lokale.

Aktiviteti brenda rrjetit të komprometuar kaloi nëpër disa faza, duke filluar me përpjekjet për të mbledhur kredencialet nga bazat e të dhënave të Menaxherit të Llogarisë së Sigurisë (SAM), si dhe informacione rreth grupit të domenit dhe përdoruesit. Pas grumbullimit fillestar të të dhënave, aktori i kërcënimit përpiqet të përdorë Instrumentimin e Menaxhimit të Windows (WMI) për t'u lidhur me pajisje shtesë. Hapi i fundit i procesit sheh hakerat të instalojnë një fener CobaltStrike nëpërmjet ngarkimit anësor DLL.