Bismuto APT

Se ha observado que un grupo de amenazas persistentes avanzadas (APT) de larga duración llamado Bismuth intentaba ocultar sus actividades recientemente mediante la implementación de una carga útil de cripto-mineros en sus objetivos. En el panorama de la seguridad de la información, las operaciones de minería criptográfica se consideran problemas no críticos y, por lo general, generan una respuesta más moderada en comparación con los casos de ciberespionaje o el despliegue de ransomware.

La principal especialización de Bismuth ha sido la realización de campañas de recolección de datos y ataques de espionaje. El grupo ha sido funcional desde al menos 2012, y durante ese período, sus herramientas, técnicas y procedimientos han ido evolucionando en complejidad y rango de manera constante. El arsenal del grupo consiste en malware personalizado combinado con herramientas de código abierto. Sus víctimas provienen de un amplio conjunto de sectores industriales, incluidas entidades internacionales, empresas que ofrecen servicios financieros, entidades y agencias gubernamentales, así como instituciones educativas. Sin embargo, sus objetivos preferidos han sido las organizaciones de derechos humanos y civiles.

El bismuto utiliza la criptominería como señuelo

En su campaña más reciente, el grupo comprometió objetivos privados y gubernamentales ubicados en Francia y Vietnam. La operación se atribuyó a Bismuth debido al despliegue de una amenaza de malware en particular llamada KerrDown, que ha sido detectada como parte de sus ataques exclusivamente.

Para hacerse un hueco dentro de su objetivo, Bismuth elaboró correos electrónicos de spear-phishing altamente detallados dirigidos a empleados específicos dentro de las organizaciones. Los piratas informáticos recopilaron varios datos sobre las personas seleccionadas antes de lanzar correos electrónicos corruptos. En algunos casos, los piratas informáticos incluso establecieron comunicación con sus víctimas para generar confianza y crear una historia mucho más creíble. En las etapas iniciales del ataque, Bismuth empleó una técnica conocida como carga lateral de DLL, que ve a los piratas informáticos explotar aplicaciones más antiguas y obligarlos a cargar una DLL corrupta que falsifica un archivo legítimo. Las aplicaciones de las que los piratas informáticos han abusado de ellas son Microsoft Word 2007, el escáner McAffee, Microsoft Defender y la herramienta Sysinternals DebugView.

Para ocultar sus verdaderas intenciones, los piratas informáticos de Bismuth ejecutaron una carga útil de cripto minería de Monero en las máquinas comprometidas. Si bien los mineros no pudieron generar una tonelada de dinero, cumplieron su propósito al desviar la atención de las actividades de recolección de datos del grupo.

El bismuto estudia sus objetivos

Una vez dentro de la máquina seleccionada, los hackers de Bismuth se toman su tiempo antes de atacar. Se informa que el grupo estuvo al acecho durante aproximadamente un mes dentro de la red comprometida, buscando e identificando las computadoras más útiles para propagarse. Durante este período, el actor de la amenaza recopiló varios datos, incluidos los detalles del administrador local y del dominio, la información del dispositivo y los privilegios de usuario disponibles en los sistemas locales.

La actividad dentro de la red comprometida pasó por varias etapas, comenzando con los intentos de recopilar credenciales de las bases de datos de Security Account Manager (SAM), así como información sobre el grupo de dominio y el usuario. Después de la recolección de datos inicial, el actor de amenazas intenta aprovechar el Instrumental de administración de Windows (WMI) para conectarse a dispositivos adicionales. En el paso final del proceso, los piratas informáticos instalan una baliza CobaltStrike a través de la carga lateral de DLL.