Image default
Security

Novo hacking do grupo Silence mira bancos ao redor do mundo

O grupo de hackers Silence é um dos mais ativos que tem como foco empresas do setor financeiro. Normalmente ele ataca bancos localizados na Rússia, mas agora está expandindo seus ataques para empresas localizadas em outros países.

De acordo com o um relatório compartilhado pela empresa de forense computacional e segurança da informação Group-IB (pdf), o grupo já infectou mais de 30 países da América, Europa, África e Ásia.

Além disso, o grupo também realizou várias alterações em seu arsenal de ferramentas para não ser detectado pelas ferramentas de segurança e também alterou a criptografia (como o alfabeto utilizado e as strings), comandos para o bot e o módulo principal.

Acredita-se que o grupo tenha roubado mais de 4,2 milhões de dólares entre junho de 2016 e junho de 2019.

Campanhas do Grupo Silence

O grupo também utiliza o phishing como um vetor de ataque, pois o e-mail enviado para mais de 85 mil usuários inclui uma imagem ou um link sem o payload malicioso.

A partir de outubro de 2018, o grupo começou a enviar e-mails de reconhecimento para obter uma lista atualizada dos endereços de e-mail ativos e obter informações das ferramentas de segurança utilizadas nas empresas das vítimas.

E-mail enviado pelo grupo Silence.

O Silence realizou pelo menos três campanhas utilizando e-mails de reconhecimento. Estas campanhas não estavam mais concentradas apenas na Rússia e nos ex-países soviéticos, mas espalhadas pela Ásia e Europa. O grupo hacker enviou mais 170 mil e-mails de reconhecimento.

E-mails de reconhecimento enviados pelo grupo de hackers.

Ferramentas e Táticas

O grupo utiliza quase as mesmas táticas de ataques anteriores. Eles ainda utilizam documentos do Microsoft Office com macros ou exploits, arquivos CHM e atalhos .LNK como anexos maliciosos.

Os hackers reescreveram completamente o loder TrueBot, o módulo do primeiro estágio, do qual depende todo o sucesso do grupo. Eles também começaram a utilizar o Invoke, um loader sem filtro e o agente EDA, ambos escritos em PowerShell.

Group-IB
Estágios do ataque por e-mail.

O sucesso do ataque depende da infecção inicial, o loader principal é o Silence.Downloader (também conhecido como TrueBot). A empresa Group-IB também observou que o loader fileless (sem arquivo) do PowerShell utilizado pelos hackers é chamado de Ivoke.

O Silence.Main é o principal payload que contém um conjunto completo de comandos a serem executados pelo servidor de C&C, necessários para controlar o computador comprometido e realizar o download de módulos adicionais.

Com estes recentes ataques, a metodologia executada pelo grupo de hackers funciona da seguinte maneira:

  • O grupo faz o download de um agente em PowerShell, baseado nos projetos de código aberto Empire e dnscat2, junto com o qual também baixa outros serviços de proxy para ocultar a comunicação do C&C;
Ataques e ferramentas do grupo.
  • O estágio final do ataque é obter controle sobre os caixas eletrônicos (ATMs). Para isso, o grupo utiliza o trojan Atmosphere, projetado por eles, o outro programa chamado xfs-disp.exe, para distribuir dinheiro em caixas eletrônicos.

A análise da empresa Group-IB revelou que os loaders FlawedAmmyy.Downloader e o Silence.Downloader foram desenvolvidos pela mesma pessoa e o desenvolvedor seja um cara russo o trabalha em plataformas do underground. Os pesquisadores também acreditam que o criador estaria ligado aos ataques do TA505.

Fonte:

Posts similares

Hackers: Empresas estão mais abertas aos avisos de bugs de segurança

O Analista

Adware para Android infecta mais de 36 milhões de dispositivos via Google Play

O Analista

Avast esclarece detalhes sobre o incidente envolvendo o CCleaner

O Analista