Grupul rusesc de hacking care vizează întreaga lume dispune de tactici noi

Silance APT hacker

Grupul rusesc de hacking care vizează întreaga lume dispune de tactici noi

Silence APT, un grup rusesc specializat în criminalitate cibernetică și cunoscut pentru alegerea țintelor ca fiind organizații financiare, în principal din fostele state sovietice și țări vecine, vizează acum bănci din mai mult de 30 de țări din America, Europa, Africa și Asia.

Activ cel puțin din septembrie 2016, cea mai recentă campanie de succes a grupului Silence APT a fost derulată împotriva Băncii Dutch-Bangla din Bangladesh, în urma căreia s-au pierdut 3 milioane de dolari americani în timpul unui șir de retrageri de numerar de la ATM pe o perioadă de câteva zile.

Potrivit unui raport generat de firma singaporeză de securitate cibernetică, Group-IB, grupul de hackeri și-a extins semnificativ aria de interes în ultimele luni, crescând frecvența campaniilor de atac, îmbunătățindu-și totodată arsenalul.

Raportul descrie, de asemenea, evoluția grupului Silence APT, de la hackeri tineri și foarte motivați la unul dintre cele mai sofisticate grupuri de APT, care acum prezintă amenințări pentru bănci din întreaga lume.

Grupul de hacking Silence APT și-a actualizat TTP-ul unic (tactici, tehnici și proceduri) și și-a schimbat alfabetele de criptare, criptarea șirurilor și comenzile pentru bot, alături de modulul principal pentru a nu fi detectat de instrumentele de securitate.

În plus, actorul a rescris complet loaderul TrueBot, cunoscut și ca modulul din prima etapă de care depinde succesul întregului atac al grupului. De asemenea, hackerii au început să folosească Ivoke, un loader de tip fileless și un agent EDA, ambele scrise în PowerShell.

EDA este un agent PowerShell conceput pentru a controla sistemele compromise prin efectuarea de sarcini utilizând shell-ul de comandă și traficul de tip tunneling folosind protocolul DNS și se bazează pe proiectele Empire și dnscat2.

La fel ca majoritatea grupurilor de hacking, Silence APT se bazează pe e-mailuri de tip spear-phishing ce folosesc macros Docs sau exploit-uri, fișiere CHM și shortcut-uri .lnk pe post de atașamente cu conținut malware pentru a compromite, inițial, victimele.

Odată obținut accesul în organizație, grupul folosește TTP-uri mai sofisticate și implementează programe malware suplimentare, fie TrueBot, fie un nou loader Powershell de tip fileless denumit Ivoke, ambele concepute pentru a colecta informații depre un sistem infectat și a le trimite la un server C2 intermediar.

Pentru a-și alege țintele, grupul creează, mai întâi, o listă cu potențialele persoane care cuprinde adrese de e-mail active și actualizate, trimițând e-mailuri de recunoaștere. Acestea conțin, de obicei, o imagine sau un link ce nu implică o sarcină utilă dăunătoare.

Aceste campanii nu s-au mai concentrat doar pe Rusia, ci și pe fostele țări sovietice, răspândindu-se în Asia și Eruopa. De la ultimul raport public, grupul Silence APT a trimis peste 170.000 de e-mailuri de recunoaștere către băncile din Rusia, fosta Uniune Sovietică, Asia și Europa.

În luna noiembrie 2018, grupul a vizat piața asiatică pentru prima oară în istoria lor. În total, Silence APT a trimis aproximativ 80.000 de e-mailuri, mai mult de jumătate dintre ele vizând Taiwan, Malaezia și Coreea de Sud.

Din mai 2018 până în august 2019, cercetătorii au apreciat creșterea daunelor generate de operațiunile lor și au confirmat că suma fondurilor furate de Silence APT a crescut de cinci ori de la etapa inițială, pierderea totală fiind estimată la 4,2 milioane dolari americani.

În afară de acest lucru, cercetătorii din Group-IB suspectează, de asemenea, că TrueBot (cunoscut și ca Silence.Downloader) și loaderul FlawedAmmyy au fost dezvoltate de aceeași persoană, deoarece ambele programe malware au fost semnate cu același certificat digital.

Loaderul FlawedAmmy este un troian cu acces de la distanță asociat cu TA505, un grup vorbitor de limbă rusă responsabil pentru numeroase atacuri la scară largă care implică atacuri folosind e-mailuri extrem de direcționate, precum și campanii masive începând cu 2014.

Amenințarea aflată în creștere reprezentată de grupul Silence APT și expansiunea sa globală rapidă au determinat cele două rapoarte să devină publice, întocmai pentru a ajuta specialiștii în securitate cibernetică să detecteze și să atribuie corect atacurile la nivel mondial ale Silence APT cât mai rapid.

Cercetătorii în domeniul securității cibernetice din cadrul Group-IB nu au împărtășit numele băncilor vizate de Silence APT, însă au afirmat că grupul a vizat cu succes bănci din India (în august 2018), Rusia (februarie 2019), Kîrgistan (mai 2019), Rusia (iunie 2019), Chile, Ghana, Costa Rica și Bulgaria (iulie 2019).

No Comments

Post a Comment

Comment
Name
Email
Website