安全公司侦测到一个名为Silence的俄罗斯黑客组织,近年对全球超过30国银行发动攻击以窃取财产,台湾成为这个组织在亚洲攻击最频繁的目标。
安全公司Group-IB本周公布报告,Silence从2016年6月崛起,并以俄罗斯为起点逐步扩散,锁定全球金融业发动攻击,如今已成为金融业最活跃的黑客组织之一。
为了躲避安全产品的侦测,Silence近年使用的攻击工具也大幅改进,包括加密字母表、字符串加密工具、僵尸指令及主要攻击模块。他们也改写了用作第一阶段的攻击模块Truebot下载器(loader)成Silence.Downloader、还开始使用以PowerShell写成的无文件下载器Ivoke、EDA代理程序,并积极开始发动无文件攻击进行。他们的手法还包括发送侦察式电子邮件(reconnaissance email),这种邮件假冒是发送失败的系统自动回复信件,虽没有攻击程序,但可以搜集有效电子邮件信箱,作为未来攻击的准备。
Group-IB研究人员发现,Silence从去年10月开始攻击范围波及前苏联国家、欧洲,并在11月触及亚洲。根据分析,Silence在当月发了17万封侦察式电子邮件,包括亚洲的8万封,其中台湾以2.1万封居榜首、其次是马来西亚(1.6万封)及韩国(8,800封)。光是今年就有30多个国家金融机构的工作站,遭Silence恶意程序感染。
一旦验证为有效电子邮件信箱后,黑客就开始发送载有攻击程序的恶意邮件,接着以其工具渗透受害银行的内部网络及横向移动。如果金融机构安全防护技术未能侦测到,最后黑客得以控制信用卡处理中心、并以Atmosphere木马或名为xfs-disp.exe的程序控制提款机在特定时间吐钞,并由外部车手取款。
研究人员发现,这个组织和今年6月一个跨洲感染远程访问木马程序FlawedAmmyy有关,当时安全产业以TA505称呼背后组织,Group-IB发现它和Silence撰写的Silence. Downloader甚为相似。在FlawedAmmyy随网络钓鱼邮件向全球各洲金融与零售业蔓延,台湾也在受害范围中。