گروه نفوذ روسی، بانک‌های سراسر جهان را با روش‌های درحال تکامل هدف قرار می‌دهد

گروه مجرمان سایبری روسی Silence APT که سازمان‌های مالی را در کشورهای شوروی سابق و کشورهای همسایه هدف قرار می‌دهد، درحال‌حاضر به طرز تهاجمی بانک‌های بیش از ۳۰ کشور در امریکا، اروپا، آفریقا و آسیا را هدف قرار می‌دهد. آخرین پویش موفقیت‌آمیز گروه Silence APT که حداقل از ماه سپتامبر سال ۲۰۱۶ میلادی فعال بود، علیه بانک هلندی-بنگلادشی مستقر در بنگلادش بود که طی چند روز بیش از ۳ میلیون دلار را در مجموعه‌ای از برداشت‌های وجه نقد از دستگاه‌های خودپرداز به سرقت برد.

طبق گزارش جدیدی که شرکت امنیت سایبری Group-IB مستقر در سنگاپور منتشر کرده است، این گروه نفوذ در ماه‌های اخیر جغرافیای خود را به‌طور قابل ملاحظه‌ای گسترش داده و شدت حملات خود را افزایش داده است. این گزارش همچنین تکامل گروه نفوذ Silence APT از نفوذگران جوان و باانگیزه به یکی از پیچیده‌ترین گروه‌های تهدید درحال پیشرفت توصیف کرد که درحال حاضر بانک‌های سراسر جهان را در معرض خطر قرار می‌دهد.

گروه نفوذ Silence APT  تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTP) منحصر به فرد خود را به‌روزرسانی کرده است و الفبای رمزنگاری و دستورات مربوط به ربات و مؤلفه‌ی اصلی خود برای دور زدن سازوکار شناسایی ابزارهای امنیتی را تغییر داده است.

پژوهش‌گران بیان کردند که این عامل به‌طور کامل بارگذار Truebot، مؤلفه‌ی مرحله‌ی اول، را بازنویسی کرده است که در آن موفقیت حمله‌ی گروه به آن بستگی دارد. این نفوذگران استفاده از Ivoke، یک بارگذار بدون فایل و یک عامل EDA را آغاز کردند که هر دوی آن‌ها در پاورشل نوشته شده‌اند. EDA یک عامل پاورشل است که برای کنترل سیستم‌هایی که با انجام وظایف از طریق شل فرمان و با استفاده از پروتکل DNS در معرض خطر قرار می‌گیرند، طراحی شده است.

درست مانند اکثر گروه‌های نفوذ، گروه Silence نیز به ایمیل‌های اسپیر فیشینگی وابسته است که دارای اسناد ماکرو یا بهره‌برداری، فایل‌های CHM و میان‌برهای .LNK به‌عنوان پیوست‌های مخرب برای آسیب رساندن به قربانیان هستند.

این گروه در یک سازمان قربانی، از TTPهای پیچیده‌تر استفاده می‌کند و بدافزار دیگری مانند TrueBot یا یک بارگذار پاورشل بدون فایل جدید به نام Ivoke را به کار می‌گیرد که هردوی آن‌ها برای جمع‌آوری اطلاعات درباره‌ی سیستم آلوده طراحی شده‌اند و آن‌ها را به یک سرور دستور و کنترل واسطه ارسال می‌کند. این گروه برای انتخاب اهداف خود ابتدا با ارسال ایمیل‌هایی که معمولاً حاوی یک عکس یا یک لینک بدون بار داده‌ی مخرب هستند، یک فهرست هدف به‌روز از آدرس‌های ایمیل فعال ایجاد می‌کند.

گزارش منتشرشده بیان می‌کند که این پویش‌ها به‌تازگی تنها بر روسیه و شوروی سابق تمرکز کرده‌اند، اما در سراسر آسیا و اروپا نیز گسترش یافته‌اند. Silence بیش از ۱۷۰ هزار ایمیل به بانک‌های روسیه، شوروی سابق، آسیا و اروپا ارسال کرده است. در ماه نوامبر سال ۲۰۱۸ میلادی، Silence برای اولین بار در تاریخ تلاش کرد تا بازار آسیا را هدف قرار دهد و در مجموع حدود ۸۰ هزار ایمیل ارسال کرد که بیش از نیمی از آن‌ها تایوان، مالزی و کره‌ی جنوبی را هدف قرار می‌داد.

پژوهش‌گران با توجه به آخرین پویش گروه Silence بیان کردند که خسارت ناشی از فعالیت‌های آن‌ها افزایش یافته است و تأیید کردند که میزان وجوه به سرقت رفته توسط Silence نسبت به مرحله‌ی اول آن پنج برابر شده است و میزان کل خسارت را ۴٫۲ میلیون دلار تخمین می‌زنند.

علاوه‌برآن، پژوهش‌گران Group-IB گمان می‌کنند که TrueBot و بارگذار FlawedAmmyy توسط یک شخص توسعه یافته است، زیرا هردو بدافزار با یک گواهی‌نامه‌ی دیجیتال امضا شده‌اند. بارگذار FlawedAmmyy یک تروجان دسترسی از راه دور مربوط به TA505 است. TA505 یک گروه تهدید روسی است که از سال ۲۰۱۴ میلادی مسئول بسیاری از حملات وسیع شامل حملات ایمیل هدفمند و پویش‌های پیام گسترده بوده است.

پژوهش‌گران بیان کردند که تهدید روبه‌رشد Silence و گسترش جهانی سریع این گروه، آن‌ها را بر آن داشت که هر دو گزارش را در دسترس عموم قرار دهند تا به متخصصان امنیت سایبری کمک کنند که حملات سراسر جهان را در مراحل اولیه به‌درستی شناسایی کنند.

پژوهش‌گران Group-IB نام بانک‌هایی را که توسط گروه Silence هدف قرار گرفتند، به اشتراک نگذاشتند اما بیان کردند که این گروه با موفقیت بانک‌هایی را در هند، روسیه، قرقیزستان، شیلی، غنا، کاستاریکا و بلغارستان هدف قرار داده است.

منبع

پست‌های مشابه

Leave a Comment