Nhóm hacker Nga nhắm mục tiêu vào các ngân hàng trên toàn thế giới với nhiều thủ thuật tinh vi

Silence APT , một nhóm tội phạm mạng Nga, được biết đến với mục tiêu là các tổ chức tài chính chủ yếu ở các nước thuộc Liên Xô cũ và các nước láng giềng hiện đang nhắm mục tiêu mạnh mẽ vào các ngân hàng tại hơn 30 quốc gia trên khắp Châu Mỹ, Châu Âu, Châu Phi và Châu Á.

Hoạt động kể từ ít nhất là tháng 9 năm 2016, chiến dịch thành công gần đây nhất của nhóm Silence APT là chống lại Ngân hàng Hà Lan-Bangla có trụ sở tại Bangladesh, đã mất hơn 3 triệu đô la trong một chuỗi rút tiền mặt ATM trong một vài ngày.

Theo một báo cáo mới, công ty an ninh mạng Group-IB có trụ sở tại Singapore đã chia sẻ, nhóm hack đã mở rộng đáng kể địa lý của họ trong những tháng gần đây, tăng tần suất các chiến dịch tấn công của họ, cũng như tăng cường kho vũ khí.

Các báo cáo cũng mô tả sự tiến hóa của các nhóm hacker Silence từ “hacker trẻ trung và tràn đầy sinh lực” cho một trong những mối đe dọa dai dẳng nhóm (APT) tinh vi nhất tiên tiến mà hiện nay đang đặt ra mối đe dọa cho các ngân hàng trên toàn thế giới.

Nhóm hack Silence APT đã cập nhật TTP (chiến thuật, kỹ thuật và quy trình) độc đáo của họ và thay đổi bảng chữ cái mã hóa, mã hóa chuỗi và các lệnh cho bot và mô-đun chính để tránh sự phát hiện của các công cụ bảo mật.

“Ngoài ra, kẻ tấn công đã viết lại hoàn toàn trình tải TrueBot, mô-đun giai đoạn đầu, dựa trên sự thành công của toàn bộ cuộc tấn công của nhóm. Các tin tặc cũng bắt đầu sử dụng Ivoke, một trình tải không có mã và tác nhân EDA, được viết bằng PowerShell,” Các nhà nghiên cứu cho biết.

EDA là một tác nhân PowerShell, được thiết kế để kiểm soát các hệ thống bị xâm nhập bằng cách thực hiện các tác vụ thông qua vỏ lệnh và lưu lượng đường hầm bằng giao thức DNS và dựa trên các dự án Empire và dnscat2.

Giống như hầu hết các nhóm hack, băng nhóm Silence APT cũng dựa vào các email lừa đảo bằng macro Docs hoặc khai thác, tệp CHM và phím tắt .LNK như các tệp đính kèm độc hại để xâm nhập nạn nhân ban đầu.

Khi ở trong một tổ chức nạn nhân, nhóm tận dụng các TTP tinh vi hơn và triển khai phần mềm độc hại bổ sung, TrueBot hoặc trình tải PowerShell không tên mới có tên Ivoke, cả hai được thiết kế để thu thập thông tin về hệ thống bị nhiễm và gửi đến máy chủ CnC trung gian.

Để chọn mục tiêu của mình, trước tiên, nhóm tạo một “danh sách mục tiêu” cập nhật của các địa chỉ email đang hoạt động bằng cách gửi “email trinh thám”, thường chứa một hình ảnh hoặc một liên kết mà không có tải trọng độc hại.

“Các chiến dịch này không còn chỉ tập trung vào Nga và các nước thuộc Liên Xô cũ mà lan rộng khắp châu Á và châu Âu. Kể từ báo cáo công khai cuối cùng của chúng tôi, Silence đã gửi hơn 170.000 email điều chỉnh tới các ngân hàng ở Nga, Liên Xô cũ, châu Á và châu Âu , “Báo cáo đọc.

 

“Vào tháng 11 năm 2018, Silence đã cố gắng nhắm mục tiêu vào thị trường châu Á lần đầu tiên trong lịch sử của họ. Tổng cộng, Silence đã gửi khoảng 80.000 email, trong đó hơn một nửa trong số đó nhắm mục tiêu đến Đài Loan, Malaysia và Hàn Quốc.”

Với các chiến dịch mới nhất của nhóm Silence APT, từ tháng 5 năm 2018 đến ngày 1 tháng 8 năm 2019, các nhà nghiên cứu đã mô tả sự gia tăng thiệt hại từ hoạt động của họ và xác nhận rằng số tiền bị đánh cắp bởi Silence đã tăng gấp năm lần kể từ giai đoạn ban đầu, ước tính tổng thiệt hại là 4.2 triệu đô la. 
Bên cạnh đó, các nhà nghiên cứu của Group-IB cũng nghi ngờ rằng TrueBot (còn gọi là Silence.Doader) và trình tải FlawedAmmyy đã được phát triển bởi cùng một người vì cả hai phần mềm độc hại đều được ký với cùng một chứng chỉ kỹ thuật số.

FlawedAmmyy loader là một Trojan truy cập từ xa (RAT) được liên kết với TA505, một nhóm đe dọa nói tiếng Nga riêng biệt chịu trách nhiệm cho nhiều cuộc tấn công quy mô lớn liên quan đến các cuộc tấn công email được nhắm mục tiêu cao cũng như hàng triệu chiến dịch tin nhắn lớn, kể từ ít nhất 2014

Các nhà nghiên cứu cho biết: “Mối đe dọa ngày càng tăng do Silence và sự mở rộng toàn cầu nhanh chóng của nó khiến chúng tôi phải công khai cả hai báo cáo để giúp các chuyên gia an ninh mạng phát hiện và quy kết chính xác các cuộc tấn công trên toàn thế giới của Silence ở giai đoạn đầu”.

Các nhà nghiên cứu của nhóm IB không chia sẻ tên của các ngân hàng mà Silence APT nhắm đến nhưng cho biết nhóm đã nhắm mục tiêu thành công vào các ngân hàng ở Ấn Độ (vào tháng 8 năm 2018), Nga (vào tháng 2 năm 2019, “Ngân hàng CNTT” của Nga), Kyrgyzstan (vào tháng 5 năm 2019 ), Nga (vào tháng 6 năm 2019) và Chile, Ghana, Costa Rica và Bulgaria (vào tháng 7 năm 2019).

Group-IB đã công bố những phát hiện chi tiết hơn về  Silence APT trong báo cáo mới có tiêu đề “Silence 2.0: Going Global.“. Bạn có thể vào báo cáo của họ để biết thêm thông tin.

bình luận

Leave a Comment