Bismuth APT

Bismuthと呼ばれる長期にわたるAdvancedPersistent Threat（APT）グループは、最近、暗号マイナーペイロードをターゲットに展開することによってその活動を隠そうとしていることが観察されています。 infosecの状況では、暗号マイニング操作は重要ではない問題と見なされ、サイバースパイやランサムウェアの展開の場合と比較すると、通常、より抑制された応答を引き出します。

Bismuthの主な専門分野は、データ収集およびスパイ攻撃キャンペーンの実施です。このグループは少なくとも2012年から機能しており、その間、ツール、技術、手順は複雑さと範囲の両方で着実に進化してきました。このグループの武器は、オープンソースツールと組み合わせたカスタムメイドのマルウェアで構成されています。彼らの犠牲者は、国際機関、金融サービスを提供する企業、政府機関や機関、教育機関など、幅広い業界から来ています。しかし、彼らの好ましい目標は、永続的に人権団体と公民権団体でした。

ビスマスは暗号通貨マイニングをおとりとして使用します

最近のキャンペーンでは、グループはフランスとベトナムにある民間および政府の目標を妥協しました。この操作は、攻撃の一部として排他的に検出されたKerrDownという名前の特定のマルウェア脅威の展開によるBismuthに起因していました。

Bismuthは、ターゲット内に足場を築くために、組織内の特定の従業員に向けられた非常に詳細なスピアフィッシングメールを作成しました。ハッカーは、破損した電子メールを起動する前に、選択した個人に関するさまざまなデータを収集しました。場合によっては、ハッカーは被害者とのコミュニケーションを確立して、信頼を築き、はるかに信頼できるストーリーを作成することさえありました。攻撃の初期段階で、BismuthはDLLサイドローディングと呼ばれる手法を採用しました。この手法では、ハッカーが古いアプリケーションを悪用し、正当なファイルをスプーフィングしている破損したDLLを強制的にロードします。ハッカーによって悪用されていると観察されたアプリケーションは、Microsoft Word 2007、McAffeeスキャナー、Microsoft Defender、およびSysinternalsDebugViewツールです。

彼らの本当の意図を隠すために、Bismuthハッカーは侵害されたマシンでMonero暗号マイニングペイロードを実行しました。鉱山労働者は大量のお金を生み出すことができませんでしたが、グループのデータ収集活動から注意をそらすという目的を果たしました。

ビスマスはそのターゲットを研究します

選択したマシンに入ると、ビスマスのハッカーは攻撃する前に時間をかけます。このグループは、侵害されたネットワーク内に約1か月間潜んでおり、拡散するのに最も有用なコンピューターを検索して特定していると報告されています。この期間中、攻撃者は、ドメインおよびローカル管理者の詳細、デバイス情報、ローカルシステムで利用可能なユーザー特権など、さまざまなデータを収集しました。

侵害されたネットワーク内のアクティビティは、Security Account Manager（SAM）データベースからの資格情報、およびドメイングループとユーザーに関する情報の収集の試みから始まり、いくつかの段階を経て移動しました。最初のデータ収集後、攻撃者はWindows Management Instrumentation（WMI）を利用して追加のデバイスに接続しようとします。プロセスの最後のステップでは、ハッカーがDLLサイドローディングを介してCobaltStrikeビーコンをインストールします。