Czy wiesz, że niewinna ukryta koparka kryptowalut (cryptominer) na twoim komputerze, może oznaczać znacznie poważniejsze kłopoty? Atakującym nie chodzi o kopanie, ale o to byś myślał że kopią, a tymczasem oni kradną twoje dane.
Oswojenie się z zagrożeniami takim jak cryptominer i traktowanie ich jako zagrożenie niskiego stopnia postanowiła wykorzystać grupa Bismuth, która używa ich do odwracania uwagi od prawdziwych zamiarów, którym najczęściej są próby wykradania danych i szpiegostwo. O rosnącym udziale cryptominer’ów informowało choćby Comodo Group w raporcie 2018.
Odwrócenie uwagi przy użyciu wabika
Niekonwencjonalną metodę zanotowali eksperci Microsoftu, którzy monitorują działania grupy od ok. 2012 roku. Należy ona bowiem do grup APT, czyli korzystających z niekonwencjonalnych metod i prowadzących długofalowe kampanie, często wobec starannie wyselekcjonowanych i rozpracowanych celów. Bismuth szpieguje i wykrada dane z organizacji obrony praw człowieka i obywatela, ale też finansuje swoje działania atakując instytucje finansowe, edukacyjne, czy rządowe. Ich pochodzenie sugeruje koneksje z Wietnamem.
Microsoft zauważył, że na skutecznie spenetrowanych i przejętych systemach instytucji we Francji i Wietnamie grupa Bismuth wdrożyła cryptominer waluty Monero. Jednak ich obecność nie generowała dużych zysków – raptem 1000 $. Jednak w dalszym ciągu w zaciemniony sposób prowadzone były operacje na zainfekowanych sieciach. Często bowiem cryptominer jest traktowany jako niekrytyczne zagrożenie, co może być ignorowane przez systemy bezpieczeństwa (których zasoby wycelowane są w bardziej niebezpieczne ruchy sieciowe) lub uwaga departamentów IT może zostać uśpiona.
Pieczołowicie wypracowane metody i cryptominer w tle
Grupa Bismuth nie stosuje wybitnie zaawansowanych technologicznie metod, za to konsekwentnie i do perfekcji opanowała sposoby dobrze znane i nadal skuteczne. Atak rozpoczynały ataki phisingowe, w których unikatowe konta pocztowe mozolnie zdobywały zaufanie podporządkowanych sobie celów, niekiedy tygodniami prowadząc z nimi biznesową korespondencję, by w końcu wysłać zainfekowany załącznik. Następnie wykorzystywano podmianę bibliotek DLL (DLL sideloading), poprzedzając je implementacją przestarzałych i podatnych na ataki wersji Windows Defender, Sysinternals DebugView czy Microsoft Word 2007. Ich ataki znaczone są również tymczasowym pojawieniem się niestandardowego wirusa zwanego jako KerrDown.
Sam cryptominer był zaciągana przez wprowadzony plik .dat, który był uruchamiany poprzez rundll32.exe, a działający ściągał narzędzie ekstrakcji 7-ZIP i spakowany zip-em cryptominer. Ten szybko podszywał się pod klasyczny proces maszyny wirtualnej. Zainstalowanie cryptominer’a poprzedzało kradzież danych uwierzytelniających w lokalnych systemach (za pośrednictwem Mimikatz).
W międzyczasie…
Hakerzy będąc poza obserwacją, mogli spokojnie używać konsoli powershell do wykonywania zdalnie poleceń. Wykorzystywali je również do rekonesansu – przejmowali poświadczenia SAM, łączyli się z innymi obiektami po WMI, zbierali informacje o użytkownikach, domenach, bazach danych, czy danych uwierzytelniających z dzienników Event ID 680. Dzięki temu poruszanie się po sieci i wykradanie istotnych informacji stawało się znacznie prostsze.
Eksperci Microsoftu zwrócili uwagę, by zespoły SOC i administratorzy odpowiadający za bezpieczeństwo i konfigurację urządzeń do ochrony sieci, nie ignorowali pozornie mało krytycznych zagrożeń i baczniej przyglądali się ich źródłom.
Informacje zebrał i opracował: Karol Mondry
Źródła:
cyberscoop.com
bleepingcomputer.com