23 ago. 2019

El grupo de hackers Silence ataca a bancos de todo el mundo con nuevas tácticas y herramientas de ataque

El grupo de delincuentes Silence es uno de los grupos de actores de amenazas más activos que apunta a los sectores financieros. El grupo inicialmente atacó bancos en Rusia y ahora expandió su geografía.

Según el informe compartido por Group-IB [PDF] con GBHackers on Security, el grupo de atacantes ha infectado a más de 30 países de América, Europa, África y Asia.
El grupo también realizó una serie de cambios en su conjunto de herramientas para no ser detectados por las herramientas de seguridad y también han realizado cambios en sus alfabetos de cifrado, cifrado de cadenas y comandos para el bot y el módulo principal.
Se creía que el grupo había robado más de 4,2 millones de dólares estadounidenses entre junio de 2016 y junio de 2019. El grupo se dirige activamente a los sectores financieros.

Campañas del grupo Silence

El grupo Silence también usa el phishing como un vector de ataque, el correo electrónico enviado por el grupo Silence incluye una imagen o un enlace sin una carga maliciosa y el correo electrónico ha sido enviado a más de 85.000 usuarios.

A partir de octubre de 2018, el grupo comenzó a enviar correos electrónicos de reconocimiento para obtener una lista actualizada de la dirección de correo electrónico activa y para conocer las herramientas de ciberseguridad utilizadas en las empresas.
Un correo del Grupo Silence
Silence ha llevado a cabo al menos tres campañas utilizando correos electrónicos de reconocimiento, las campañas ya no se centraron solo en Rusia y los antiguos países soviéticos, sino que se extendieron por Asia y Europa. El grupo ha enviado más de 170.000 correos electrónicos de reconocimiento.
Correos para reconocimiento del Grupo Silence

Herramientas y tácticas

El grupo usa casi las mismas tácticas, todavía usan documentos de Microsoft Office con macros o exploits, archivos CHM y atajos de LNK como archivos adjuntos maliciosos.
"Los actores de amenazas han reescrito completamente el cargador TrueBot, el módulo de la primera etapa, del cual depende el éxito de todo el ataque del grupo. Los atacantes también comenzaron a usar Invoke, un cargador sin archivos y un agente EDA, ambos escritos en PowerShell".
Etapas de Ataque por Email del Grupo Silence
El éxito del ataque depende de la infección inicial, el cargador principal es Silence.Downloader (también conocido como TrueBot), Group-IB también observó el cargador PowerShell sin archivos de los actores de amenazas llamado Ivoke.

Silence.Main es la carga principal que contiene un conjunto completo de comandos C&C que se requieren para controlar la computadora comprometida y descargar módulos adicionales.
Con los ataques recientes, el grupo Silence descarga un agente de PowerShell basado en los proyectos de código abierto Empire y dnscat2, junto con eso el grupo también descarga otros servicios proxy para ocultar la comunicación de C&C.

La etapa final del ataque es obtener el control de los cajeros automáticos, el grupo usa el troyano Atmosphere que fue diseñado por ellos u otro programa llamado xfs-disp.exe para dispensar efectivo de los cajeros automáticos. El grupo ha estado activo desde 2016, cambiando sus estrategias de ataque de forma continua y ampliado su territorio.
Ataques y Herramientas del Grupo Silence
El análisis del grupo IB reveló que FlawedAmmyy.Downloader y Silence.Downloader es desarrollado por la misma persona, y el desarrollador es alguien que habla ruso y trabaja activamente en plataformas subterráneas. Los investigadores también creían que el desarrollador estaba vinculado a los ataques de TA505.

Traducción: Raúl Batista de la Redacción de Segu-Info
Autor: Gurubaran S
Fuente: GBHackers on Security

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!