Russische hackersgroep targeten banken wereldwijd met evoluerende tactieken

Global news Envicom todayaugustus 21, 2019 8

Background
share close

Stilte APT, een Russisch sprekende cyber criminelen groep, bekend vanwege financiële organisaties in voornamelijk voormalige Sovjet staten en buurlanden, richt zich nu agressief op banken in meer dan 30 landen in Amerika, Europa, Afrika en Azië.

De meest recente succesvolle campagne van Silence APT Groep, actief sinds minstens september 2016, was tegen de in Bangladesh gevestigde Nederlandse Bangla Bank, die meer dan $ 3 miljoen verloor tijdens een reeks geld opnames aan geld automaten gedurende enkele dagen.

Volgens een nieuw rapport Groep IB uit Singapore dat in Singapore is gedeeld met The Hacker News, heeft de hack groep de afgelopen maanden hun geografische plaats aanzienlijk uitgebreid, de frequentie van hun aanval campagnes verhoogd en het arsenaal verbeterd.

Het rapport beschrijft ook de evolutie van de Silence hacking groep van “jonge en onderbouwd hackers” naar een van de meest geavanceerde persistente dreiging (APT) groep die nu wereldwijd bedreigingen vormt voor banken. Silence APT hack groep heeft hun unieke TTP (tactieken, technieken en procedures) bijgewerkt en hun codering alfabetten, string versleuteling, opdrachten voor de plomp en de hoofdmodule gewijzigd om detectie door beveiliging gereedschap te ontwijken.

“Bovendien heeft de acteur de TrueBot lader, de eerste fase module, volledig herschreven, waarvan het succes van de hele aanval van de groep afhangt. De hackers begonnen ook Ivoke te gebruiken, een fileless loader en EDA-agent, beide geschreven in PowerShell,” zeiden de onderzoekers.

EDA is een PowerShell agent, ontworpen om gecompromitteerde systemen te besturen door taken uit te voeren via de opdracht shell en verkeer te tunnelen met behulp van het DNS-protocol, en is gebaseerd op de Empire- en dnscat2-projecten.

Net als de meeste hack groepen, vertrouwt Silence Gang ook op speer phishing mails met macro’s Documenten of exploits (uitmelken), CHM-bestanden en LNK-snelkoppelingen als kwaadaardige bijlagen om in het begin hun slachtoffers in gevaar te brengen.

Eenmaal in een slachtoffer organisatie maakt de groep gebruik van geavanceerdere TTP’s en voert uit extra malware, ofwel TrueBot of een nieuwe documentloos Power Shell lader genaamd Ivoke, beide ontworpen om informatie over een geïnfecteerd systeem te verzamelen en naar een tussenliggende CNC-server te sturen.

Om hun doelen te kiezen, maakt de groep eerst een up-to-date “doellijst” van actieve mail adressen door “recon-e-mails” te verzenden, die dikwijls een afbeelding of een link bevatten zonder een kwaadaardige lading.

“Deze campagnes waren niet langer alleen gericht op Rusland en voormalige Sovjet landen, maar verspreidden zich over Azië en Europa. Sinds ons laatste openbare rapport heeft Silence meer dan 170.000 recon mails verstuurd naar banken in Rusland, de voormalige Sovjet unie, Azië en Europa”, luidt het rapport.

“In november 2018 probeerde Silence zich voor het eerst in hun geschiedenis te richten op de Aziatische markt. In totaal stuurde Silence ongeveer 80.000 mails, waarvan meer dan de helft naar Taiwan, Maleisië en Zuid-Korea”.

Met de nieuwste campagnes van Silence APT groep van mei 2018 tot 1 augustus 2019 hebben onderzoekers de toename van de schade door hun activiteiten beschreven en bevestigd dat het bedrag dat door Silence is gestolen vijfvoudig is toegenomen sinds de eerste fase, met een schatting van het totale verlies van $ 4,2 miljoen.

Daarnaast vermoeden onderzoekers van Groep IB ook dat TrueBot (akaSilence. downloader) en FlawedAmmyy lader zijn verder ontwikkelen dezelfde persoon, omdat beide malware met hetzelfde digitale certificaat zijn ondertekend.

FlawedAmmyy lader is een externe toegang Trojan (RAT) geassocieerd met TA505, een aparte Russisch sprekende dreiging groep die verantwoordelijk is voor veel grootschalige aanvallen met gerichte mail aanvallen en massale, miljoenen berichten campagnes sinds minstens 2014.

“De groeiende dreiging van Silence en de snelle wereldwijde expansie hebben ons ertoe aangezet beide rapporten openbaar te maken om cyber security specialisten te helpen bij het opsporen en correct toeschrijven van Silence’s wereldwijde aanvallen in een vroeg stadium” volgens de onderzoekers.

Groep IB-onderzoekers hebben de namen van de banken waarop Silence APT zich richt, niet gedeeld, maar zeiden dat de groep zich met succes heeft gericht op banken in India (in augustus 2018), Rusland (in februari 2019, Russische “IT Bank”), Kirgizië (in mei 2019), Rusland (in juni 2019) en Chili, Ghana, Costa Rica en Bulgarije (in juli 2019).

Groep IB heeft meer gedetailleerde bevindingen over Silence APT gepubliceerd in het nieuwe rapport getiteld” Silence 2.0: Going Global “. Ga naar het rapport voor meer informatie.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *