Silence Advanced Hackers атакуват банки по целия свят

Silence Advanced Hackers атакуват банки по целия свят
silence

Активността на напредналата хакерска група, която изследователите наричат Silence („Тишина“), се е увеличила значително през последната година. Жертвите във финансовия сектор са разпръснати в повече от 30 държави, а финансовите загуби са се увеличили петкратно.

Групата започна плахо през 2016 г., като следваше пътя, проправен от други хакери. Оттогава тя успя да открадне поне 4,2 милиона долара, първоначално от банки в бившия Съветски съюз, след това от жертви в Европа, Латинска Америка, Африка и Азия.

Изследователи от Group-IB, базираната в Сингапур компания за киберсигурност, специализирана в предотвратяването на атаки, проследиха Silence и прецениха, че членовете й да са запознати с дейността по сигурността с бяла шапка.

Доклад от миналата година подробно описва ролите на хакерите Silence, техните умения, неуспехи и успешни банкови обири. През септември 2018 г. демонстрираха отлична запознатост с вътрешната политика на една банка, която донесе на групата над 800 000 долара.

В нов  доклад Group-IB споделя повече подробности за тактиката, техниките и процедурите на хакерите, за да помогне на други изследователи да открият атаки в ранен етап и да ги отнасят правилно към групата.

Нови инструменти и тактики

Изследователите казват, че Silence е подобрила своята оперативна сигурност и е променила своя набор от инструменти, за да предотврати откриването. Освен пренаписването на модул на първи етап (Silence.Downloader / Truebot), групата започна да използва безфайлов зареждател, базиран на PowerShell, наречен Ivoke.

За странично движение в мрежата на жертвите се използва нов PowerShell агент, наречен EmpireDNSAgent (EDA), тъй като той се основава на наскоро изоставената рамка на Empire и проекта dnscat2.

През октомври 2018 г. Silence започна да изпраща разузнавателни имейли, които ще помогнат за по-добрата подготовка на атака. Такова съобщение няма да носи полезен товар и се преструва на автоматизиран отговор за неуспешна доставка.

silence

Целта беше да получат актуализиран списък от активни имейл адреси от проектожертвата. Silence изпрати над 170 000 от тези имейли по време на три отделни кампании срещу жертви в Азия, Европа и постсъветски страни, пише Group-IB.

Жертви на всички континенти

При разширяването си в Азия хакерите доставиха около 80 000 съобщения за „неуспешна доставка“ до цели в 12 държави. Както се вижда от снимката по-долу, повечето от целите са в Тайван, Малайзия и Южна Корея. Кампанията за възстановяване на финансовите институции в Европа беше най-малката, с доставени по-малко от 10 000 имейла. Фокусът беше върху британските финансови компании.

silence

На последния етап нападателят достига до машините за обработка на карти и може да контролира банкоматите, използвайки своя троян Atmosphere или програма, наречена ‘xfs-disp.exe’, за да раздава пари на мулетата в определени моменти.

Silence се захваща за работа

Последният доклад на Group-IB за дейността на Silence обхваща периода между 28 май 2018 г. и 1 август 2019 г. Изследователите проследяват атаки, разузнавателни и фишинг кампании най-вече срещу банки в Русия.

Хакерите се възползваха от всеки ресурс и възможност. Като такива те използваха липсата на настройки за рамката на политиката за податели (SPF), за да се представят за истинска банка, а в друг случай изпратиха имейли, като се преструваха, че са от Централната банка на Руската федерация.

Групата Silence започна в началото на 2019 г. курс на  преминаване към цели в Европа и атакува финансова организация във Великобритания. Те изпратиха файл с валиден подпис от SEVA Medical LTD.

Те обаче не изместиха фокуса си и от руските банки. До февруари авторите на заплахата  компрометираха Omsk IT Bank и успяха  да откраднат около 400 000 долара, според публични доклади по това време.

В края на май информационните агенции в Бангладеш съобщиха, че множество мъже с маски са изтеглили поне 3 милиона долара от банкомати, принадлежащи на холандската Bangla Bank.

Това бяха пари за мулета и те бяха записани от системата за видеонаблюдение. Кадри от охранителната камера показват как вкарват карта в банкомата и просто чакат парите да излязат.

Изследователите смятат, че троянецът Atmosphere или ‘xfs-disp.exe’ са били използвани за контрол на банкоматите по време на тази атака, тъй като в банкоматите не е открит зловреден софтуер.

Други успешни атаки на Silence се случват в банки в Чили, България, Коста Рика, Гана и Индия.

Silence разчита на мощни инструменти, които не се използват от други групи и продължава да адаптира играта си, за да изпревари решенията за сигурност и изследователите.

Group-IB вярва, че може да има връзка между Silence и TA505, друга група, която използва FlawedAmmyy.Downloader за насочване към жертви във финансовия сектор.

„Сравнителен анализ на Silence.Downloader и FlawedAmmyy.Downloader разкри, че тези програми са разработени от един и същи човек – рускоговорящ, който е активен в даркнета.“

Тук обаче свършва общото, тъй като TA505 използва съвсем различна инфраструктура за своите операции.

Рустам Миркасимов, ръководител на отдела за динамичен анализ на зловреден софтуер в Group-IB, казва, че неопитната група, която компанията е започнала да наблюдава преди три години, вече не е такава.

Групата „еволюира в един от най-сложните заплахи, насочени към финансовия сектор не само в Русия, но и в Америка, Европа, Африка и особено Азия“, казва изследователят.

Източник: По материали от интернет

Сподели в:

Категории:

Следвай ни в: