گروه مجرمان سایبری روسی Silence APT که سازمانهای مالی را در کشورهای شوروی سابق و کشورهای همسایه هدف قرار میدهد، درحالحاضر به طرز تهاجمی بانکهای بیش از ۳۰ کشور در امریکا، اروپا، آفریقا و آسیا را هدف قرار میدهد. آخرین پویش موفقیتآمیز گروه Silence APT که حداقل از ماه سپتامبر سال ۲۰۱۶ میلادی فعال بود، علیه بانک هلندی-بنگلادشی مستقر در بنگلادش بود که طی چند روز بیش از ۳ میلیون دلار را در مجموعهای از برداشتهای وجه نقد از دستگاههای خودپرداز به سرقت برد.
طبق گزارش جدیدی که شرکت امنیت سایبری Group-IB مستقر در سنگاپور منتشر کرده است، این گروه نفوذ در ماههای اخیر جغرافیای خود را بهطور قابل ملاحظهای گسترش داده و شدت حملات خود را افزایش داده است. این گزارش همچنین تکامل گروه نفوذ Silence APT از نفوذگران جوان و باانگیزه به یکی از پیچیدهترین گروههای تهدید درحال پیشرفت توصیف کرد که درحال حاضر بانکهای سراسر جهان را در معرض خطر قرار میدهد.
گروه نفوذ Silence APT تاکتیکها، تکنیکها و رویههای (TTP) منحصر به فرد خود را بهروزرسانی کرده است و الفبای رمزنگاری و دستورات مربوط به ربات و مؤلفهی اصلی خود برای دور زدن سازوکار شناسایی ابزارهای امنیتی را تغییر داده است.
پژوهشگران بیان کردند که این عامل بهطور کامل بارگذار Truebot، مؤلفهی مرحلهی اول، را بازنویسی کرده است که در آن موفقیت حملهی گروه به آن بستگی دارد. این نفوذگران استفاده از Ivoke، یک بارگذار بدون فایل و یک عامل EDA را آغاز کردند که هر دوی آنها در پاورشل نوشته شدهاند. EDA یک عامل پاورشل است که برای کنترل سیستمهایی که با انجام وظایف از طریق شل فرمان و با استفاده از پروتکل DNS در معرض خطر قرار میگیرند، طراحی شده است.
درست مانند اکثر گروههای نفوذ، گروه Silence نیز به ایمیلهای اسپیر فیشینگی وابسته است که دارای اسناد ماکرو یا بهرهبرداری، فایلهای CHM و میانبرهای .LNK بهعنوان پیوستهای مخرب برای آسیب رساندن به قربانیان هستند.
این گروه در یک سازمان قربانی، از TTPهای پیچیدهتر استفاده میکند و بدافزار دیگری مانند TrueBot یا یک بارگذار پاورشل بدون فایل جدید به نام Ivoke را به کار میگیرد که هردوی آنها برای جمعآوری اطلاعات دربارهی سیستم آلوده طراحی شدهاند و آنها را به یک سرور دستور و کنترل واسطه ارسال میکند. این گروه برای انتخاب اهداف خود ابتدا با ارسال ایمیلهایی که معمولاً حاوی یک عکس یا یک لینک بدون بار دادهی مخرب هستند، یک فهرست هدف بهروز از آدرسهای ایمیل فعال ایجاد میکند.
گزارش منتشرشده بیان میکند که این پویشها بهتازگی تنها بر روسیه و شوروی سابق تمرکز کردهاند، اما در سراسر آسیا و اروپا نیز گسترش یافتهاند. Silence بیش از ۱۷۰ هزار ایمیل به بانکهای روسیه، شوروی سابق، آسیا و اروپا ارسال کرده است. در ماه نوامبر سال ۲۰۱۸ میلادی، Silence برای اولین بار در تاریخ تلاش کرد تا بازار آسیا را هدف قرار دهد و در مجموع حدود ۸۰ هزار ایمیل ارسال کرد که بیش از نیمی از آنها تایوان، مالزی و کرهی جنوبی را هدف قرار میداد.
پژوهشگران با توجه به آخرین پویش گروه Silence بیان کردند که خسارت ناشی از فعالیتهای آنها افزایش یافته است و تأیید کردند که میزان وجوه به سرقت رفته توسط Silence نسبت به مرحلهی اول آن پنج برابر شده است و میزان کل خسارت را ۴٫۲ میلیون دلار تخمین میزنند.
علاوهبرآن، پژوهشگران Group-IB گمان میکنند که TrueBot و بارگذار FlawedAmmyy توسط یک شخص توسعه یافته است، زیرا هردو بدافزار با یک گواهینامهی دیجیتال امضا شدهاند. بارگذار FlawedAmmyy یک تروجان دسترسی از راه دور مربوط به TA505 است. TA505 یک گروه تهدید روسی است که از سال ۲۰۱۴ میلادی مسئول بسیاری از حملات وسیع شامل حملات ایمیل هدفمند و پویشهای پیام گسترده بوده است.
پژوهشگران بیان کردند که تهدید روبهرشد Silence و گسترش جهانی سریع این گروه، آنها را بر آن داشت که هر دو گزارش را در دسترس عموم قرار دهند تا به متخصصان امنیت سایبری کمک کنند که حملات سراسر جهان را در مراحل اولیه بهدرستی شناسایی کنند.
پژوهشگران Group-IB نام بانکهایی را که توسط گروه Silence هدف قرار گرفتند، به اشتراک نگذاشتند اما بیان کردند که این گروه با موفقیت بانکهایی را در هند، روسیه، قرقیزستان، شیلی، غنا، کاستاریکا و بلغارستان هدف قرار داده است.