【持續進化】Silence組織攻擊手法多變 擅於隱藏入侵痕跡
主要針對金融機構發動釣魚攻擊的 Silence 組織,被Cisco Talos安全研究人員發現,近月開始使用 TrueBot 惡意軟件感染目標電腦,受害主機分布在全球多個地方,約有 1,500 部主機遭受攻擊。黑客更會啟動 Clop 勒索軟件,逼使受害企業交贖金。專家指要捕捉到他們的入侵活動相當困難,一齊睇睇他們如何隱藏入侵行蹤。
Silence 並非新出現的黑客組織,事實上,安全機構 Group-IB 在 2016 年已注意到他們曾入侵銀行,不過卻未能成功轉帳,其後他們再次入侵該銀行,並開始暗中監管銀行活動,再以截圖或影片了解銀行轉帳運作。
直至 2017 年,他們才成功從提款機偷取超過十萬元款項。其後多年,Silence 至少從俄羅斯、歐洲、亞洲及南美銀行盜取 420 萬美元款項,規模愈做愈大,研究員更指其技術亦提升不少,包括可逆向工程解拆其他惡意軟件再修改使用。
Cisco Talos 研究員則在今年 8 月開始,發現 Silence 的攻擊手法變得更多樣化,例如在 8、9 月間,他們曾利用 Netwrix Auditor 伺服器已知漏洞感染目標電腦主機;10 月時則通過 USB 手指內的惡意軟件 Raspberry Robin worm 感染電腦,並在目標企業的內部網絡散播勒索軟件 Clop,其手法與 FIN11 及 TA505 等國家級黑客組織相似。
研究員說由於 Raspberry Robin 屬蠕蟲病毒,因此自帶感染能力,最終讓他們成功入侵全球多達 1,000 部主機,部分更在墨西哥、巴西等南美地區。來到 11 月,Silence 又利用 Windows 伺服器的 SMB、RRDP、WinRM 服務的漏洞,再控制多 500 部主機,當中 75% 來自美國。研究員說從上述多項事件中,可見 Silence 黑客有多項技能傍身,而且在入侵後,亦有多種手段保持低調。
當 Silence 將惡意軟件 TrueBot 成功感染主機後,研究員說系統會第一時間將主機的基本資料及 Active Directory 資訊以截圖方式外傳控制中心,讓黑客部署後續入侵策略,例如於記憶體內載入 shellcode 或 DLL 側載程序,下載其他惡意件並在安裝後刪除。其後,黑客會通過 TrueBot 在內部網絡埋下 Cobalt Strike 的 beacons 或惡意程式 Grace,又建立 Teleport 溝通渠道,確保日後能持續發出其他指令。
研究員補充說,雙方之間的數據傳送會被加密,另外黑客亦控制了數據傳送的速度、數據封包大小及時間,因此可大大減少被安全工具捕獲的機會。當取得足夠數據,黑客便會啟動 Clop 勒索軟件,可造成鉅大損失。企業 IT 管理員必須時刻留意可疑網絡活動,例如有否出現合法滲透軟件的 beacons,堵塞非必要的 USB 設備連接,便可減低中招風險。
相關文章:【人為危機】混合工作模式增網絡安全風險 八成員工使用未註冊裝置