Wismut APT

Es wurde beobachtet, dass eine langjährige Advanced Persistent Threat (APT) -Gruppe namens Bismuth kürzlich versucht hat, ihre Aktivitäten zu verbergen, indem eine Crypto-Miner-Nutzlast für ihre Ziele bereitgestellt wird. In der Infosec-Landschaft werden Crypto-Mining-Vorgänge als unkritische Probleme betrachtet und lösen im Vergleich zu Fällen von Cyberspionage oder dem Einsatz von Ransomware normalerweise eine verhaltenere Reaktion aus.

Bismuths Hauptspezialisierung war die Durchführung von Datenerfassungs- und Spionageangriffskampagnen. Die Gruppe ist seit mindestens 2012 funktionsfähig, und während dieser Zeit haben sich ihre Werkzeuge, Techniken und Verfahren sowohl in ihrer Komplexität als auch in ihrem Umfang stetig weiterentwickelt. Das Arsenal der Gruppe besteht aus maßgeschneiderter Malware in Kombination mit Open-Source-Tools. Ihre Opfer kommen aus einer Vielzahl von Branchen, darunter internationale Unternehmen, Unternehmen, die Finanzdienstleistungen anbieten, Regierungsstellen und -agenturen sowie Bildungseinrichtungen. Ihre bevorzugten Ziele waren jedoch dauerhaft Menschen- und Bürgerrechtsorganisationen.

Wismut nutzt Crypto-Mining als Lockvogel

In ihrer jüngeren Kampagne hat die Gruppe private und staatliche Ziele in Frankreich und Vietnam kompromittiert. Die Operation wurde Bismuth aufgrund der Bereitstellung einer bestimmten Malware-Bedrohung namens KerrDown zugeschrieben, die ausschließlich im Rahmen ihrer Angriffe erkannt wurde.

Um innerhalb seines Ziels Fuß zu fassen, erstellte Bismuth hochdetaillierte Spear-Phishing-E-Mails, die an bestimmte Mitarbeiter innerhalb des Unternehmens gerichtet waren. Die Hacker sammelten verschiedene Daten über die ausgewählten Personen, bevor sie beschädigte E-Mails starteten. In einigen Fällen stellten die Hacker sogar eine Kommunikation mit ihren Opfern her, um Vertrauen aufzubauen und eine weitaus glaubwürdigere Geschichte zu erstellen. In der Anfangsphase des Angriffs verwendete Bismuth eine als DLL-Side-Loading bekannte Technik, bei der die Hacker ältere Anwendungen ausnutzen und sie zwingen, eine beschädigte DLL zu laden, die eine legitime Datei fälscht. Anwendungen, die von den Hackern als missbraucht angesehen werden, sind Microsoft Word 2007, McAffee Scanner, Microsoft Defender und das Sysinternals DebugView-Tool.

Um ihre wahren Absichten zu verbergen, haben die Bismuth-Hacker eine Monero-Crypto-Mining-Nutzlast auf den kompromittierten Maschinen ausgeführt. Obwohl die Bergleute nicht in der Lage waren, eine Menge Geld zu generieren, erfüllten sie ihren Zweck, um die Aufmerksamkeit von den Datenerfassungsaktivitäten der Gruppe abzuwenden.

Wismut untersucht seine Ziele

Sobald sie sich in der ausgewählten Maschine befinden, nehmen sich die Wismut-Hacker Zeit, bevor sie zuschlagen. Es wird berichtet, dass die Gruppe etwa einen Monat lang im gefährdeten Netzwerk lauert und die nützlichsten Computer sucht und identifiziert, auf die sie sich ausbreiten kann. Während dieses Zeitraums sammelte der Bedrohungsakteur verschiedene Daten, einschließlich Domänen- und lokaler Administratordetails, Geräteinformationen und Benutzerberechtigungen, die auf lokalen Systemen verfügbar sind.

Die Aktivität innerhalb des gefährdeten Netzwerks durchlief mehrere Phasen, beginnend mit Versuchen, Anmeldeinformationen aus SAM-Datenbanken (Security Account Manager) sowie Informationen zur Domänengruppe und zum Benutzer zu sammeln. Nach der ersten Datenerfassung versucht der Bedrohungsakteur, mithilfe von Windows Management Instrumentation (WMI) eine Verbindung zu zusätzlichen Geräten herzustellen. Im letzten Schritt des Prozesses installieren die Hacker ein CobaltStrike-Beacon per DLL-Side-Loading.