Bismuth APT
Un groupe de longue date Advanced Persistent Threat (APT) appelé Bismuth a été observé essayant de cacher ses activités récemment en déployant une charge utile de crypto-mineur sur leurs cibles. Dans le paysage de l'infosec, les opérations de crypto-minage sont considérées comme des problèmes non critiques et suscitent généralement une réponse plus modérée par rapport aux cas de cyberespionnage ou de déploiement de ransomwares.
La principale spécialisation de Bismuth a été la conduite de campagnes de collecte de données et d'attaques d'espionnage. Le groupe est fonctionnel depuis au moins 2012, et pendant cette période, leurs outils, techniques et procédures ont évolué en complexité et en gamme de manière constante. L'arsenal du groupe est constitué de malwares sur mesure associés à des outils open source. Leurs victimes proviennent d'un large éventail de secteurs industriels, y compris des entités internationales, des entreprises offrant des services financiers, des entités et agences gouvernementales, ainsi que des établissements d'enseignement. Cependant, leurs cibles préférées ont toujours été les organisations de défense des droits humains et civils.
Le bismuth utilise la crypto-extraction comme leurre
Dans leur campagne plus récente, le groupe a compromis des cibles privées et gouvernementales situées en France et au Vietnam. L'opération a été attribuée à Bismuth en raison du déploiement d'une menace de malware particulière nommée KerrDown, qui a été détectée dans le cadre de ses attaques exclusivement.
Pour prendre pied dans sa cible, Bismuth a conçu des e-mails de spear-phishing très détaillés destinés à des employés spécifiques au sein des organisations. Les pirates ont recueilli diverses données sur les individus sélectionnés avant de lancer des e-mails corrompus. Dans certains cas, les pirates ont même établi une communication avec leurs victimes pour instaurer la confiance et créer une histoire beaucoup plus crédible. Dans les premières étapes de l'attaque, Bismuth a utilisé une technique connue sous le nom de chargement latéral de DLL, qui voit les pirates exploitant des applications plus anciennes et les forçant à charger une DLL corrompue qui usurpe un fichier légitime. Les applications considérées comme abusées par les pirates sont Microsoft Word 2007, le scanner McAffee, Microsoft Defender et l'outil Sysinternals DebugView.
Pour cacher leurs véritables intentions, les pirates de Bismuth ont exécuté une charge utile de crypto-minage Monero sur les machines compromises. Bien que les mineurs n'aient pas été en mesure de générer une tonne d'argent, ils ont servi leur objectif en détournant l'attention des activités de collecte de données du groupe.
Le bismuth étudie ses cibles
Une fois à l'intérieur de la machine sélectionnée, les hackers de Bismuth prennent leur temps avant de frapper. Le groupe serait caché pendant environ un mois à l'intérieur du réseau compromis, recherchant et identifiant les ordinateurs les plus utiles sur lesquels se propager. Au cours de cette période, l'auteur de la menace a collecté diverses données, y compris les détails du domaine et de l'administrateur local, les informations sur l'appareil et les privilèges utilisateur disponibles sur les systèmes locaux.
L'activité à l'intérieur du réseau compromis a traversé plusieurs étapes, en commençant par les tentatives de collecte d'informations d'identification à partir des bases de données SAM (Security Account Manager), ainsi que des informations sur le groupe de domaine et l'utilisateur. Après la collecte initiale des données, l'acteur de la menace essaie de tirer parti de Windows Management Instrumentation (WMI) pour se connecter à des appareils supplémentaires. La dernière étape du processus voit les pirates installer une balise CobaltStrike via le chargement latéral de DLL.
