Російськомовна кіберзлочинна група Silence APT, яка відома тим, що її жертвами стали фінансові організації насамперед у колишніх радянських та сусідніх країнах, зараз агресивно атакує банки у понад 30 країнах Америки, Європи, Африки та Азії. Про це повідомляє The Hacker News.

Група активна, щонайменше, з вересня 2016 року. Останньою успішною кампанією групи Silence APT була атака на бангладешський банк Dutch-Bangla Bank, який втратив понад 3 мільйони доларів під час атак на готівкові банкомати протягом декількох днів.

Згідно з новим звітом сингапурської фірми з питань кібербезпеки Group-IB, хакерська група значно розширила свою географію за останні місяці, збільшила частоту своїх атак та посилила арсенал.

У звіті також описано еволюцію хакерської групи Silence APT від “молодих і високомотивованих хакерів” до однієї з найскладніших розширених стійких загроз (APT), яка загрожує банкам у всьому світі.

Група APT Silence оновила свій унікальний TTP-набір  (тактики, прийоми та процедури) та змінила свої алфавіти шифрування, шифрування рядків та команди для ботів та основного модуля, щоб уникнути виявлення інструментами безпеки.

“Крім того, хакери повністю переписали завантажувач TrueBot, модуль першого ступеня, від якого залежить успіх усієї атаки групи. Хакери також почали використовувати Ivoke, безфайловий завантажувач та агент EDA, обидва написані в PowerShell”, – вважають дослідники.

EDA – агент PowerShell, призначений для управління компрометованими системами, виконуючи завдання через оболонку команд та тунельний трафік за допомогою протоколу DNS, і базується на проектах Empire та dnscat2.

Як і більшість хакерських груп, угруповання Silence також активно використовує електронні фішинг-листи з документами з макросами або експлойтами .CHM-файлами та ярликами .LNK на зловмисні вклалдення у листах, щоб спочатку компрометувати своїх жертв.

Опинившись в організації жертвb, група використовує більш досконалі TTP та розгортає додаткові зловмисні програми – TrueBot або новий безфайловий  завантажувач PowerShell під назвою Ivoke, oj призначений для збору інформації про заражену систему та відправки її на проміжний сервер CnC.

Щоб вибрати цілі, група спочатку створює оновлений “список цілей” активних адрес електронної пошти, надсилаючи “повторні електронні листи”, які зазвичай містять зображення або посилання без шкідливого навантаження.

“Ці кампанії вже не зосереджувалися лише на фінансових установах Росії та колишніх радянських країн, а поширилися Азією та Європою. З моменту останнього нашої публічної доповіді Silence розіслала понад 170 тисяч електронних листів банкам Росії, колишнього Радянського Союзу, Азії та Європи “, – йдеться у звіті. – У листопаді 2018 року Silence вперше в своїй історії почала орієнтуватися на азіатський ринок. Загалом угруповання Silence розіслало близько 80 000 електронних листів, причому більше половини з них націлили на Тайвань, Малайзію та Південну Корею”.

Показуючи останні кампанії групи Silence APT – з травня 2018 року по 1 серпня 2019 року, дослідники описали збільшення шкоди від операцій групи і підтвердили, що сума коштів, викрадених Silence, зросла в п’ять разів з початкового етапу.   Загальні втрати  оцінюються в 4,2 мільйона доларів.

Крім цього, дослідники групи-IB також підозрюють, що TrueBot (він же Silence.Downloader) та завантажувач FlawedAmmyy були розроблені тією ж групою, оскільки обидві зловмисні програми були підписані одним і тим же цифровим сертифікатом.

Завантажувач FlawedAmmyy – це троян віддаленого доступу (RAT), пов’язаний з TA505, окремою російськомовною групою загроз, яка відповідає за багато масштабних атак, пов’язаних із націленими атаками на адреси електронної пошти, а також за масові багатомільйонні кампанії з повідомленнями щонайменше з 2014 року.

“Загроза, яку створює  Silence APT та її швидке глобальне розширення, спонукали нас до оприлюднення обох звітів, щоб допомогти фахівцям з кібербезпеки виявити та правильно реагувати на атаки Silence на світовому рівні на ранній стадії”, – заявили дослідники.

Дослідники групи-IB не поділилися назвами банків, на які орієнтується Silence APT, але заявили,  що група успішно атакувала банки в Індії( у серпні 2018 року), Росії (у лютому 2019 року – можливо, що це був російський “ИТ-Банк”), Киргизстані (у травні 2019 року) ), Росії (у червні 2019 року) та Чилі, Гані, Коста-Ріці та Болгарії (у липні 2019 року).

Нагадаємо, що шахраї крадуть облікові записи Steam, використовуючи для цього спеціально розроблений сайт з “безкоштовними роздаванням ігор”. За допомогою вкрадених екаунтів зловмисники намагаються заманити нових жертв.

Також у браузері Chrome з’явиться функція перевірки паролів, яка значно підвищить безпеку користування. Поки що нововведення  призначено лише для настільної версії, але у майбутньому може бути перенесено і до мобільної.

Стало відомо, що дослідники з компанії Avanan, що займається питаннями безпеки електронної пошти, виявили нову фішингову кампанію. Зловмисники за допомогою повідомлень голосової пошти Microsoft Voicemail намагаються змусити жертву відкрити вкладення HTML, що перенаправляє на фішингові web-сторінки.

Окрім цього, Google видалила 85 додатків для Android із магазину Google Play після того, як дослідники виявили, що це рекламне програмне забезпечення (adware), яке вдає з себе нормальні додатки.

Клікджекінг привернув увагу ІБ-експертів більш десяти років тому, і з тих пір продовжує користуватися великою популярністю у кіберзлочинців. Команда дослідників, що складається з фахівців Microsoft і вчених китайського, південнокорейського та американського університету, проаналізувала 250 тисяч сайтів зі списку Alexa і виявила три техніки, які зараз використовуються кіберзлочинцями для перехоплення кліків.

Автор: Максим Побокін