高级黑客沉默APT组织正在攻击世界各地银行

admin 2022年4月6日10:24:56安全新闻评论46 views1961字阅读6分32秒阅读模式


高级黑客沉默APT组织正在攻击世界各地银行


研究人员称之为Silence的高级黑客组织的活动在过去一年中显着增加。金融部门的受害者分散在30多个国家,经济损失增加了五倍。


高级黑客沉默APT组织正在攻击世界各地银行


该组织在2016年开始发迹,通过追随其他黑客的道路学习并苦苦求索。从那以后,它成功地窃取了至少420万美元,最初来自前苏联的银行,然后是欧洲,拉丁美洲,非洲和亚洲的受害者。


总部位于新加坡的IB-Group网络安全公司Group-IB的研究人员早期跟踪了Silence并判断其成员熟悉白帽安全活动。


去年的一份报告  详细介绍了沉默黑客的角色,他们的技能,失败以及成功的银行抢劫。在2018年9月,研究人员意识到银行工作带来了超过80万美元。


在 今天的一份新报告中,Group-IB分享了有关黑客战术,技术和程序的更多细节,以帮助其他研究人员在早期发现攻击并正确归因。


新的工具和策略

研究人员表示,Silence已经改善了其操作安全性并改变了其工具集以阻止检测。除了重写第一阶段模块(Silence.Downloader / Truebot)之外,该小组还开始使用名为Ivoke的基于PowerShell的无文件加载器。


对于受害者网络中的横向移动,使用名为EmpireDNSAgent(EDA)的新PowerShell代理,因为它基于最近放弃的Empire  框架和dnscat2  项目。


在2018年10月,Silence开始发送有助于更好地准备攻击的侦察电子邮件。这样的消息不会携带有效载荷,并假装是发送失败的自动回复。


高级黑客沉默APT组织正在攻击世界各地银行


目的是从目标接收更新的活动电子邮件地址列表。Group-IB表示,在针对亚洲,欧洲和后苏联国家的受害者的三次单独运动中,沉默发出超过170,000封电子邮件。


几乎所有大陆的受害者

在扩展到亚洲时,黑客向12个国家/地区的目标发送了大约80,000条“递送失败”消息。如下图所示,大多数目标都在台湾,马来西亚和韩国。


欧洲金融机构的侦察活动是最小的,发送的电子邮件少于10,000封。重点是英国金融公司。


高级黑客沉默APT组织正在攻击世界各地银行


验证电子邮件地址后,威胁行为者将进入攻击的下一阶段,并开始发送带有下载特定于Silence的恶意软件的负载的消息。


使用目标系统上已有的自行开发的工具或二进制文件,遵循持久性和横向移动。


在最后阶段,攻击者到达卡处理机器并且可以使用其Atmosphere木马或称为“xfs-disp.exe”的程序控制ATM,以在特定时间向钱骡分发现金。


高级黑客沉默APT组织正在攻击世界各地银行


努力工作的“沉默”组织

Group-IB关于沉默活动的最新报告涵盖了2018年5月28日和2019年8月1日之间的时期。研究人员追踪攻击,侦察和网络钓鱼活动主要针对俄罗斯的银行。


黑客利用了所有资源和可能性。因此,他们利用缺乏发件人政策框架(SPF)设置来冒充真实银行,并在另一个诉讼中他们发送假装来自俄罗斯联邦中央银行的电子邮件。


沉默小组于2019年初开始转向欧洲的目标,并袭击了英国的一家金融机构。他们发送了一份带有SEVA Medical LTD有效签名的文件。


不过,他们并未将重点从俄罗斯银行转移。根据当时的公开报道,到2月份,威胁演员已经让鄂木斯克IT银行受到损害,并且能够偷走40万美元左右。


5月底,孟加拉国的新闻媒体报道,多名戴面具的男子从  荷兰孟加拉银行的ATM机上撤回了至少300万美元。


这些是钱骡子,它们由闭路电视系统录制。来自安全摄像头的镜头显示他们如何在自动取款机中插入卡片,他们只是等待钱出来。



研究人员认为Atmosphere木马或'xfs-disp.exe'用于控制此攻击期间的ATM,因为在自动提款机上没有发现恶意软件。


其他成功的攻击Group-IB归因于沉默发生在智利,保加利亚,哥斯达黎加,加纳和印度的银行。


沉默依赖于其他团队未使用的强大工具,并继续使其游戏适应安全解决方案和研究人员。


高级黑客沉默APT组织正在攻击世界各地银行


Group-IB认为,Silence和TA505之间可能存在联系,TA505是另一个使用FlawedAmmyy.Downloader来瞄准金融部门受害者的团体。


“Silence.Downloader和FlawedAmmyy.Downloader的比较分析显示,这些程序是由同一个人开发的 - 一个活跃在地下论坛上的俄语发言人。


然而,这是共同基础的结束,因为TA505使用完全不同的基础设施进行操作。


Group-IB动态恶意软件分析部主管Rustam Mirkasymov表示,该公司三年前开始监控的缺乏经验的团队已不复存在。


该研究小组表示,该组织“不仅在俄罗斯,而且在美洲,欧洲,非洲,尤其是亚洲,已发展成为针对金融业最复杂的威胁行动者之一”。


高级黑客沉默APT组织正在攻击世界各地银行


转发是对我们最大的鼓励


                                                                                            点个看吧↓



原文始发于微信公众号(红数位):高级黑客“沉默”APT组织正在攻击世界各地银行

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月6日10:24:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  高级黑客沉默APT组织正在攻击世界各地银行 http://cn-sec.com/archives/634842.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: