Кибергруппировка Silence с мая 2018 года похитила миллионы долларов у финансовых учреждений в десятках стран СНГ, Европы и Азии. В новых кампаниях преступники доработали свои методы и системы, чтобы лучше избегать обнаружения. В частности, они переписали свой загрузчик TrueBot и взяли на вооружение несколько новых инструментов для загрузки сторонних программ и взлома банкоматов.
Развитие деятельности Silence
Группировка Silence попала в поле зрения исследователей по информационной безопасности в 2016 году. Она атаковала преимущественно российские банкии использовала испытанные другими злоумышленниками методы.
Преступники по-прежнему предпочитают с некоторым отставанием перенимать инструменты у других группировок. Например, бесфайловый троян появился в арсенале Silence только в 2019 году, хотя такие зловреды уже давно используются в кибератаках на банки.
Впрочем, догоняющая модель поведения не слишком повлияла на успешность Silence. За три года активной деятельности преступникам удалось похитить более 4 млн долларов, а география атак расширилась. Только за последний год злоумышленники атаковали цели более чем в 30 государствах мира.
Тактика и технический инструментарий Silence
С 2018 года для подготовки своих кампаний преступники проводят рассылку тестовых сообщений, замаскированных под уведомления о проблемах с доставкой письма. Эти сообщения не имеют вредоносной нагрузки — злоумышленники используют их, чтобы обновить базу активных электронных адресов и прощупать системы безопасности потенциальных жертв.
Группировка Silence организовала три таких кампании: в СНГ, Азии и Европе. Основной удар пришелся на первые два региона — в обоих злоумышленники разослали порядка 80 тыс. тестовых писем. Объем европейской рассылки не превысил 10 тыс. сообщений, причем все они были отправлены в Великобританию.
На втором этапе группировка использует письма с вредоносными офисными документами, файлами справки CHM или ярлыками LNK. Если жертва откроет такое вложение, на компьютер установится загрузчик TrueBot или PowerShell-троян Ivoke. Первый с большой вероятностью разработан теми же авторами, что и загрузчик трояна FlawedAmmyy. Второй появился в арсенале преступников сравнительно недавно и использовался только в отдельных атаках.
Оба зловреда передают операторам системные данные, по которым те выбирают цели. Далее злоумышленники вручную отправляют загрузчику на целевой машине ссылку для скачивания ключевого вредоносного компонента.
Это компонент называется MainModule или Silence и позволяет преступникам удаленно управлять системой, загружать и запускать сторонние файлы, отправлять данные на C&C-сервер и выполнять команды оболочки. В июне 2019 года исследователи обнаружили несколько атак, в ходе которых зловред также скачивал на компьютер дополнительный PowerShell-скрипт, обеспечивающий Silence удаленное управление по DNS-протоколу.
Новый инструмент, получивший название EmpireDNSAgent (EDA), основан на open source пентест-продуктах Empire и dnscat2. Зловред позволяет операторам обновлять адрес управляющего сервера, туннелировать трафик, доставлять на компьютеры сторонние компоненты и выгружать с него локальные файлы. Список функций также включает выполнение команд в командной строке, сбор системных данных, перезагрузку и выключение системы.
Другие обновления 2019 года
Злоумышленники доработали и свои основные инструменты — ПО для доставки полезной нагрузки и проведения атак. В TrueBot появилась возможность собирать информацию о зараженном компьютере и функция шифрования данных.
Основной вредоносный модуль Silence в 2018 году научился отправлять файлы с пораженного компьютера на управляющий сервер. Кроме того, преступники изменили названия команд — раньше они выглядели как русские слова, набранные не в той раскладке.
Наконец, уже в 2019 году Silence применила в деле новый ATM-взломщик. Оператор этого зловреда может считывать информацию о разных устройствах банкомата, подменять данные о кассетах и удаленно отправлять команды на выдачу средств.
С большой вероятностью эта программа использовалась при атаке на омский ИТ-Банк, которая состоялась вскоре после публикации вредоносного файла на VirusTotal. В результате инцидента организация потеряла около 25 млн рублей. Первоначальное заражение произошло в результате фишинговой рассылки, когда Silence замаскировалавредоносные письма под приглашение на финансовый форум.