黑客根据商业的部分作为银行抢劫者,将他们的知识和技能运用到创建和修改恶意软件,使他们能够入侵到金融机构。
据信该小组只有两名成员,表现出坚持不懈的能力以及从自身失败中学习的能力。
根据国际网络安全公司Group-IB与BleepingComputer分享的一份报告,市场上最新的具有财务动机的团队拥有开发人员和运营商,每个人都扮演着明确的角色。他们从研究人员那里得到的名字是Silence。
开发人员负责构建攻击工具和定制其他由资金驱动的网络犯罪分子使用的公用事业。这背叛了一名高素质的逆向工程师,可以访问安全公司私人缓存中常见的恶意软件样本。
该组的另一名成员是运营商,他似乎是一名经验丰富的渗透测试员。他的职责是入侵银行并发起盗窃。
Goup-IB表示根据他们的分析,这两个人是俄语使用者,在英语键盘上输入俄语命令列表作为证据。该分析还指出,基于群体对某些资源及其策略的访问,相信他们都具有合法安全活动的背景。
“通过对两年攻击的间接分析,似乎小组成员已经或正在从事合法的信息安全活动,”Group-IB的报告指出。“该组织可以访问非公开的恶意软件样本,修补的特洛伊木马只能提供给安全专家,TTP的变化也表明他们会修改他们的活动以模仿新的攻击和红色团队活动。”
研究人员追踪黑客自2016年以来的活动,当时Silence未能通过AWS CBR(俄罗斯中央银行的自动化工作站客户端) - 银行间交易系统 - 窃取资金。问题最终在于支付订单而不是入侵技术。
2016年8月,在初次罢工一个月后,Silence重新获得了对同一家银行系统的访问权,并再次尝试。
“要做到这一点,他们秘密下载了软件,截取屏幕截图并继续通过视频,流来调查运营商的工作,”研究人员总结道。
据Group-IB所知,第一次成功的抢劫发生在2017年10月,当时他们袭击了ATM系统,并在一夜之间设法偷走了超过10万美元。
下一次得手发生在2018年2月,当时他们从一家银行合作伙伴的自动柜员机中抢走了超过550,000美元。两个月后,又偷了15万美元。
下图显示了沉默使用的工具及其攻击的时间表。
“在第一次行动中,网络犯罪分子使用第三方修补后门Kikothac而无法访问其源代码。他们选择了一种木马,自2015年11月以来就已被熟知,并且不需要大量时间进行逆向工程,”报告解释道。
组工具带包括用于攻击目标基础设施的Silence框架,用于累积ATM的Atmosphere恶意软件,Farse(基于Mimikatz密码提取工具的实用程序)和Cleaner,其任务是删除远程连接的日志。
通过网络钓鱼域和自签名证书将恶意软件转储到受害者的系统上。
“为了逃避内容过滤系统,他们使用DKIM和SPF。为了创建声称来自银行的'合法'电子邮件,黑客使用了没有配置SPF记录的银行域,”Group-IB说。
受害者的诱饵通常是一个Microsoft Word文档武器化为CVE-2017-0199,CVE-2017-11882 + CVE-2018-0802,CVE-2017-0262和CVE-2018-8174的利用 - 所有这些都是先前在网络犯罪攻击中使用的漏洞。
当研究人员注意到Silence利用来自俄罗斯国家网络间谍演员APT28的攻击时,研究人员发现了关于开发人员技能水平的明确线索。
该漏洞已在汇编程序指令级别进行了修改。如果没有源代码或恶意文件的构建者,开发人员就能够根据他们的需求调整漏洞,这证明了逆向工程方面的高级专业知识。
金融机构更多地成为希望渗透其网络并完全控制感兴趣的基础设施的复杂网络犯罪分子的目标。
在这方面并没有什么不同; 但该集团因其在构建定制工具方面的精通而脱颖而出。这些公用事业用于在网络中横向移动,监控银行员工学习绳索,最终用于妥协他们感兴趣的细分市场。
Silence目前仅在俄罗斯运营,但该集团向超过25个国家的银行发送了钓鱼邮件。这表明该集团已准备好在全球扩张。
领取专属 10元无门槛券
私享最新 技术干货