白帽子”转型”黑客 攻击金融行业 开发以基础设施为目标的恶意软件 该团队成员仅两人

研究人员最近发现白帽们“转型”黑客,他们将学到的技能用于创建和修改恶意软件,来渗透到金融机构。研究人员称他们为silence,据称该小组只有两名成员,虽然在第一起攻击事件中失败,他们改进恶意软件,第一次成功的抢劫发生在2017年10月,当时他们袭击了ATM系统,并在一夜之间设法偷走了超过10万美元。研究人员称,这两个人是俄语使用者,在英语键盘上输入俄语命令列表作为证据。

 

团队成员包括一个开发者和一个渗透人员

根据计算机取证公司Group-IB与BleepingComputer分享的报告,市场上最新的攻击金融组织的团队有一个开发人员和一个渗透测试员,每个人都扮演着明确的角色。从研究人员那里得知,他们叫Silence。

开发人员负责构建攻击工具和定制其他由资金驱动的网络犯罪分子使用的公用事业。这背叛了一名高素质的逆向工程师,可以访问安全公司私人缓存中常见的恶意软件样本。

该组的另一名成员是渗透人员,他似乎是一名经验丰富的渗透测试员。他的职责是妥协银行并发起盗窃。

Goup-IB表示根据他们的分析,这两个人是俄语使用者,在英语键盘上输入俄语命令列表作为证据。该分析还指出,基于群体对某些资源及其策略的访问,相信他们都具有合法白帽安全活动的背景。

“通过对两年攻击的间接分析,似乎沉默小组成员已经或正在从事合法的信息安全活动,该组织可以访问非公开的恶意软件样本,修补的特洛伊木马只能提供给安全专家,TTP的变化也表明他们会修改他们的活动以模仿新的攻击和红色团队活动。”

 

第一起发起攻击失败了

研究人员追踪黑客自2016年以来的活动,当时Silence未能通过AWS CBR(俄罗斯中央银行的自动化工作站客户端) – 银行间交易系统 – 窃取资金。问题最终在于支付订单而不是入侵技术。

2016年8月,在初次失败一个月后,Silence重新获得了对同一家银行系统的访问权,并再次尝试了运气。

研究人员总结道:

“要做到这一点,他们秘密下载了软件,截取屏幕截图并继续通过视频,流来调查运营商的工作,”

 

据Group-IB所知,第一次成功的抢劫发生在2017年10月,当时他们袭击了ATM系统,并在一夜之间设法偷走了超过10万美元。下一次胜利发生在2018年2月,当时他们从一家银行合作伙伴的自动柜员机中抢走了超过550,000美元。两个月后,又偷了15万美元。

下图显示了silence使用的工具及其攻击的时间表。

 

攻击者使用恶意软件攻击基础设施

“在第一次行动中,网络犯罪分子使用第三方修补后门Kikothac而无法访问其源代码。他们选择了一种木马,自2015年11月以来就已知道,并且不需要大量时间进行逆向工程,”

该组工具带包括用于攻击目标基础设施的恶意软件,用于累积  ATM 的Atmosphere恶意软件,Farse(基于Mimikatz密码提取工具的实用程序)和Cleaner,其任务是删除远程连接的日志。通过网络钓鱼域和自签名证书将恶意软件转储到受害者的系统上。

“为了逃避内容过滤系统,他们使用DKIM和SPF。为了创建声称来自银行的'合法'电子邮件,黑客使用了没有配置SPF记录的银行域,”

 

足够熟练修改APT28漏洞

受害者的诱饵通常是一个Microsoft Word文档武器化为CVE-2017-0199,CVE-2017-11882 + CVE-2018-0802,CVE-2017-0262和CVE-2018-8174的利用 – 所有这些都是先前在网络犯罪攻击中使用的漏洞。

当研究人员注意到Silence利用来自俄罗斯国家网络间谍演员APT28的攻击时,研究人员发现了关于开发人员技能水平的明确线索。

该漏洞已在汇编程序指令级别进行了修改。如果没有源代码或恶意文件的构建者,开发人员就能够根据他们的需求调整漏洞,这证明了逆向工程方面的高级专业知识。

金融机构更多地成为希望渗透其网络并完全控制感兴趣的基础设施的复杂网络犯罪分子的目标。

在这方面,沉默并没有什么不同; 但该集团因其在构建定制工具方面的精通而脱颖而出。这些公用事业用于在网络中横向移动,监控银行员工学习绳索,最终用于妥协他们感兴趣的细分市场。

Silence目前仅在俄罗斯运营,但该集团向超过25个国家的银行发送了钓鱼邮件。这表明该集团已准备好在全球扩张。

发表评论