El grupo de hackers Silence ataca a bancos de todo el mundo con nuevas tácticas y herramientas de ataque
Según el informe compartido por Group-IB [PDF] con GBHackers on Security, el grupo de atacantes ha infectado a más de 30 países de América, Europa, África y Asia.
El grupo también realizó una serie de cambios en su conjunto de herramientas para no ser detectados por las herramientas de seguridad y también han realizado cambios en sus alfabetos de cifrado, cifrado de cadenas y comandos para el bot y el módulo principal.Se creía que el grupo había robado más de 4,2 millones de dólares estadounidenses entre junio de 2016 y junio de 2019. El grupo se dirige activamente a los sectores financieros.
Campañas del grupo Silence
El grupo Silence también usa el phishing como un vector de ataque, el correo electrónico enviado por el grupo Silence incluye una imagen o un enlace sin una carga maliciosa y el correo electrónico ha sido enviado a más de 85.000 usuarios.A partir de octubre de 2018, el grupo comenzó a enviar correos electrónicos de reconocimiento para obtener una lista actualizada de la dirección de correo electrónico activa y para conocer las herramientas de ciberseguridad utilizadas en las empresas.
Un correo del Grupo Silence |
Correos para reconocimiento del Grupo Silence |
Herramientas y tácticas
El grupo usa casi las mismas tácticas, todavía usan documentos de Microsoft Office con macros o exploits, archivos CHM y atajos de LNK como archivos adjuntos maliciosos."Los actores de amenazas han reescrito completamente el cargador TrueBot, el módulo de la primera etapa, del cual depende el éxito de todo el ataque del grupo. Los atacantes también comenzaron a usar Invoke, un cargador sin archivos y un agente EDA, ambos escritos en PowerShell".
Etapas de Ataque por Email del Grupo Silence |
Silence.Main es la carga principal que contiene un conjunto completo de comandos C&C que se requieren para controlar la computadora comprometida y descargar módulos adicionales.
Con los ataques recientes, el grupo Silence descarga un agente de PowerShell basado en los proyectos de código abierto Empire y dnscat2, junto con eso el grupo también descarga otros servicios proxy para ocultar la comunicación de C&C.
La etapa final del ataque es obtener el control de los cajeros automáticos, el grupo usa el troyano Atmosphere que fue diseñado por ellos u otro programa llamado xfs-disp.exe para dispensar efectivo de los cajeros automáticos. El grupo ha estado activo desde 2016, cambiando sus estrategias de ataque de forma continua y ampliado su territorio.
Ataques y Herramientas del Grupo Silence |
Traducción: Raúl Batista de la Redacción de Segu-Info
Autor: Gurubaran S
Fuente: GBHackers on Security
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!