Nhóm hacker Nga nhắm tới hệ thống ngân hàng toàn cầu với chiến thuật tinh vi

Silence APT – nhóm hacker nói tiếng Nga từng được biết đến khi nhắm mục tiêu vào các tổ chức tài chính lớn thuộc liên bang Xô Viết cũ và các nước láng giềng, hiện đang nhắm mục tiêu vào các ngân hàng tại hơn 30 quốc gia trên khắp Châu Mỹ, Châu Âu, Châu Phi và Châu Á.

Được cho là bắt đầu hoạt động kể từ tháng 9 năm 2016, phi vụ thành công nhất của nhóm Silence APT cho tới nay là chiến dịch tấn công nhắm vào Ngân hàng Hà Lan-Bangla có trụ sở tại Bangladesh, đánh cắp hơn 3 triệu đô la thông qua chuỗi rút tiền mặt liên hoàn tại các cây ATM chỉ trong vài ngày.

Nhóm hacker đẩy mạnh hoạt động

Theo báo cáo mới đây của công ty an ninh mạng Group-IB có trụ sở tại Singapore, trong những tháng gần đây, nhóm hacker đã mở rộng đáng kể địa bàn hoạt động, tăng tần suất các chiến dịch tấn công, cũng như đẩy mạnh trang thiết bị.

Báo cáo cũng mô tả sự phát triển của nhóm hacker Silence từ một nhóm “tin tặc trẻ và hiếu chiến” giờ đã trở thành một trong những nhóm nguy hiểm (APT) tinh vi nhất đối với các hệ thống ngân hàng trên toàn thế giới.

Nhóm hacker Silence APT đã cập nhật chiến thuật, kỹ thuật và quy trình (TTP) độc đáo và thay đổi bảng chữ cái mã hóa (encryption alphabet), mã hóa chuỗi (string encryption) và các lệnh cho bot và mô-đun chính để tránh sự phát hiện của các công cụ bảo mật.

Nhóm hacker Silence APT

Các nhà nghiên cứu cho biết ngoài ra, các hacker đã viết lại hoàn toàn trình tải TrueBot, mô-đun giai đoạn đầu dựa trên sự thành công của toàn bộ cuộc tấn công của nhóm Các hacker cũng bắt đầ sử dụng Ivoke, một trình tải không có mã và tác nhân EDA đều được viết bằng PowerShell.

EDA là một tác nhân PowerShell, được thiết kế để kiểm soát các hệ thống bị xâm nhập bằng cách thực hiện các tác vụ thông qua command shell và tunneling traffic bằng giao thức DNS và dựa trên các dự án Empire và dnscat2.

 

Sử dụng Email lừa đảo tấn công nạn nhân

Giống như hầu hết các nhóm hacker khác, băng Silence cũng dựa vào các email lừa đảo với khai thác hoặc macro Docs, tệp CHM và phím tắt .LNK như các tệp đính kèm độc hại để bước đầu thỏa hiệp với nạn nhân.

Trong bối cảnh nhắm mục tiêu vào các tổ chức nạn nhân, nhóm tận dụng các TTP tinh vi hơn và triển khai phần mềm độc hại bổ sung, TrueBot hoặc trình tải PowerShell không có mã mới có tên Ivoke. Cả hai được thiết kế để thu thập thông tin về hệ thống bị nhiễm và gửi đến máy chủ CnC trung gian.

Để chọn mục tiêu của mình, trước tiên nhóm tạo một “danh sách mục tiêu” (target list) cập nhật bao gồm các địa chỉ email đang hoạt động bằng cách gửi “recon email” (email trinh thám), thường chứa một hình ảnh hoặc một liên kết không có payload độc hại.

Báo cáo cho biết các chiến dịch này không còn chỉ tập trung vào Nga và các nước thuộc Liên Xô cũ mà đã lan rộng ra toàn châu Á và châu Âu. Tính tới thời điểm hiện nay, Silence đã gửi hơn 170.000 email trinh thám tới các ngân hàng ở Nga, Liên Xô cũ, Châu Á và Châu Âu.

Tháng 11 năm 2018 là lần đầu tiên Silence cố gắng nhắm mục tiêu vào thị trường châu Á. Tổng cộng, Silence đã gửi khoảng 80.000 email với hơn một nửa trong số đó nhắm mục tiêu đến Đài Loan, Malaysia và Hàn Quốc.

Thiệt hại nặng nề từ các cuộc tấn công của Silence APT

Các nhà nghiên cứu đã mô tả sự thiệt hại gia tăng trong các hoạt động thuộc chiến dịch mới nhất của Silence APT kể từ tháng 5/2018 tới 1/8/2019. Số tiền Silence đánh cắp được tăng gấp năm lần kể từ giai đoạn ban đầu, ước tính tổng thiệt hại là 4.2 triệu đô la.

Bên cạnh đó, các nhà nghiên cứu của Group-IB cũng nghi ngờ rằng TrueBot (còn gọi là Silence.Doader) và trình tải FlawedAmmyy đã được phát triển bởi cùng một người vì cả hai phần mềm độc hại đều được ký với cùng một chứng chỉ kỹ thuật số.

Trình tải FlawedAmmyy là một Trojan truy cập từ xa (RAT) được liên kết với TA505, một nhóm đe dọa nói tiếng Nga riêng biệt chịu trách nhiệm cho nhiều cuộc tấn công email nhắm mục tiêu cũng như hàng triệu chiến dịch tin nhắn quy mô lớn kể từ ít nhất là năm 2014.

Các nhà nghiên cứu của Group-IB không chia sẻ tên của các ngân hàng mà Silence APT nhắm đến nhưng cho biết nhóm này đã nhắm mục tiêu thành công vào các ngân hàng ở Ấn Độ (vào tháng 8 năm 2018), Nga (vào tháng 2 năm 2019, “Ngân hàng CNTT” của Nga), Kyrgyzstan (vào tháng 5 năm 2019 ), Nga (vào tháng 6 năm 2019) và Chile, Ghana, Costa Rica và Bulgaria (vào tháng 7 năm 2019).

Group-IB đã công bố những phát hiện chi tiết hơn về Silence APT trong báo cáo mới có tiêu đề “Silence 2.0: Going global”.

Thêm bình luận

Plain text

  • Không được dùng mã HTML.
  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Tự động ngắt dòng và đoạn văn.