Nhóm tin tặc Nga nhắm mục tiêu vào các ngân hàng trên toàn thế giới với chiến thuật Evolving

Silence APT - nhóm tin tặc nói tiếng Nga, được biết đến khi nhắm mục tiêu vào các tổ chức tài chính ở các nước thuộc Liên Xô cũ và các nước láng giềng, hiện đang nhắm mục tiêu vào các ngân hàng thuộc hơn 30 quốc gia trên khắp Châu Mỹ, Châu Âu, Châu Phi và Châu Á.

Cụ thể, nhóm Silence APT được biết đã hoạt động ít nhất từ tháng 9/2016. Chiến dịch thành công gần đây nhất của nhóm Silence APT là tấn công vào Ngân hàng Dutch-Bangla có trụ sở tại Bangladesh, đánh cắp hơn 3 triệu USD chỉ trong một vài ngày.

Nhóm tin tặc Nga nhắm mục tiêu vào các ngân hàng trên toàn thế giới với chiến thuật Evolving - CyberSec365.org

Báo cáo cũng chỉ rõ sự phát triển của nhóm tin tặc Silence từ một nhóm "tin tặc trẻ đầy hiếu động" trở thành một trong những nhóm đe dọa dai dẳng (APT) tinh vi nhất đang nhắm mục tiêu vào các ngân hàng trên toàn cầu.

Nhóm tin tặc Silence APT đã cập nhật TTP (chiến thuật, kỹ thuật và quy trình) độc đáo của họ và thay đổi bảng chữ cái mã hóa, mã hóa chuỗi các lệnh điều khiển bot và các mô-đun chính để tránh sự phát hiện của các công cụ bảo mật.

"Ngoài ra, các tin tặc đã viết lại hoàn toàn trình tải TrueBot, mô-đun giai đoạn đầu, dựa trên sự thành công của toàn bộ cuộc tấn công của nhóm. Các tin tặc cũng bắt đầu sử dụng Ivoke, một trình tải không có mã và tác nhân EDA, được viết bằng PowerShell," Các nhà nghiên cứu cho biết.

EDA là một tác nhân PowerShell, được thiết kế để kiểm soát các hệ thống bị xâm nhập bằng cách thực hiện các tác vụ thông qua command shell và tunnel bằng giao thức DNS, và dựa trên các dự án Empire và dnscat2.

Nhóm tin tặc Nga nhắm mục tiêu vào các ngân hàng trên toàn thế giới với chiến thuật Evolving - CyberSec365.org

Giống như hầu hết các nhóm tin tặc khác, Silence cũng sử dụng các email lừa đảo kết hợp với các tệp tin đính kèm chứa Macro Docs, các tập tin CHM và .LNK để lây nhiễm ban đầu.
Khi nạn nhân là một tổ chức, nhóm sử dụng các TTP tinh vi hơn và triển khai bổ sung các phần mềm độc hại, TrueBot hoặc trình tải PowerShell được đặt tên là Ivoke để tiến hành thu thập thông tin hệ thống bị nhiễm và gởi đến máy chủ C&C trung gian
Để chọn mục tiêu của mình, trước tiên, nhóm tạo một "danh sách mục tiêu" cập nhật của các địa chỉ email đang hoạt động bằng cách gửi "email trinh thám", thường chứa một hình ảnh hoặc một liên kết mà không có tải trọng độc hại.
Với các chiến dịch mới nhất của nhóm Silence APT, từ tháng 5 năm 2018 đến ngày 1 tháng 8 năm 2019, các nhà nghiên cứu đã mô tả sự gia tăng thiệt hại từ hoạt động của họ và xác nhận rằng số tiền bị đánh cắp bởi Silence đã tăng gấp năm lần kể từ giai đoạn ban đầu, ước tính tổng thiệt hại là 4.2 triệu đô la.
Bên cạnh đó, các nhà nghiên cứu của Group-IB cũng nghi ngờ rằng TrueBot (còn gọi là Silence.Downloader) và trình tải FlawedAmmyy đã được phát triển bởi cùng một người vì cả hai phần mềm độc hại đều được ký với cùng một chứng chỉ kỹ thuật số.

Nhóm tin tặc Nga nhắm mục tiêu vào các ngân hàng trên toàn thế giới với chiến thuật Evolving - CyberSec365.org

FlawedAmmyy loader là một Trojan truy cập từ xa (RAT) được liên kết với TA505, một nhóm mối đe dọa nói tiếng Nga riêng biệt chịu trách nhiệm cho nhiều cuộc tấn công quy mô lớn liên quan đến các cuộc tấn công email được nhắm mục tiêu cao cũng như hàng triệu chiến dịch tin nhắn lớn, kể từ ít nhất là năm 2014.
Các nhà nghiên cứu của Group-IB  không chia sẻ tên của các ngân hàng mà Silence APT nhắm đến nhưng cho biết nhóm đã nhắm mục tiêu thành công vào các ngân hàng ở Ấn Độ (vào tháng 8 năm 2018), Nga (vào tháng 2 năm 2019, "Ngân hàng CNTT" của Nga), Kyrgyzstan (vào tháng 5 năm 2019 ), Nga (vào tháng 6 năm 2019) và Chile, Ghana, Costa Rica và Bulgaria (vào tháng 7 năm 2019).
Group-IB đã công bố những phát hiện chi tiết hơn về Silence APT trong báo cáo mới có tiêu đề "Silence 2.0: Đi toàn cầu". Bạn có thể vào báo cáo của nó để biết thêm thông tin.