俄罗斯黑客组织以不断演变的策略瞄准世界各地的银行

至少自2016年9月以来，沉默APT集团的最新成功活动是针对总部位于孟加拉国的荷兰孟加拉银行，该银行在几天的ATM取款过程中损失了300多万美元。

根据总部位于新加坡的网络安全公司Group IB与《黑客新闻》分享的一份新报告，这家黑客集团在最近几个月显著扩大了其地理位置，增加了攻击活动的频率，并增强了其武库。

该报告还描述了沉默黑客组织从“年轻、积极性高的黑客”演变为最复杂的高级持久性威胁（APT）组织之一的过程，该组织目前正在对全球银行构成威胁。

沉默APT黑客组织更新了他们独特的TTP（战术、技术和程序），并更改了他们的加密字母表、字符串加密以及机器人和主模块的命令，以逃避安全工具的检测。

研究人员说：“此外，该演员已经完全重写了TrueBot loader，这是第一阶段模块，该组织整个攻击的成功取决于它。黑客还开始使用无文件加载程序Ivoke和EDA代理，这两个都是在PowerShell中编写的”。

EDA是一个PowerShell代理，旨在通过命令外壳执行任务，并使用DNS协议通过隧道传输来控制受损系统，它基于Empire和dnscat2项目。
和大多数黑客组织一样，沉默帮也依赖于带有宏文档或漏洞、CHM文件和密码的矛式网络钓鱼电子邮件。LNK快捷方式作为恶意附件，最初会危害受害者。

一旦进入受害者组织，该组织就会利用更复杂的TTP并部署其他恶意软件，如TrueBot或新的无文件PowerShell加载程序Ivoke，这两种软件都旨在收集受感染系统的信息，并将其发送到中间CnC服务器。

为了选择他们的目标，该组织首先通过发送“侦察电子邮件”来创建活动电子邮件地址的最新“目标列表”，其中通常包含一张图片或一个没有恶意负载的链接。

报告写道：“这些行动不再只针对俄罗斯和前苏联国家，而是遍布亚洲和欧洲。自上次公开报告以来，沉默向俄罗斯、前苏联、亚洲和欧洲的银行发送了超过17万封侦察电子邮件”。

“2018年11月，沉默公司首次尝试将目标对准亚洲市场。沉默公司总共发送了约8万封电子邮件，其中超过一半的邮件针对台湾、马来西亚和韩国”。

以沉默APT集团的最新活动为特色；2018年5月至2019年8月1日，研究人员描述了他们的行动造成的损失增加，并确认沉默公司窃取的资金自其初始阶段以来增加了五倍，估计总损失为420万美元。

除此之外，IB组的研究人员还怀疑TrueBot（又名Silence.Downloader）和Defectedamyy loader是由同一个人开发的，因为这两个恶意软件都是用相同的数字证书签名的。
FailureDammyy loader是一个远程访问特洛伊木马（RAT），与TA505有关。TA505是一个独立的俄语威胁组织，自2014年以来，该组织发起了多起大规模攻击，包括针对性强的电子邮件攻击，以及数百万次的大规模邮件活动。

研究人员说：“沉默所造成的威胁越来越大，其迅速的全球扩张促使我们公开这两份报告，以帮助网络安全专家在早期阶段发现沉默在全球范围内的攻击，并对其进行正确的定性”。

IB集团的研究人员没有分享沉默APT针对的银行的名称，但表示该集团成功地针对了印度（2018年8月）、俄罗斯（2019年2月，俄罗斯“IT银行”）、吉尔吉斯斯坦（2019年5月）、俄罗斯（2019年6月）以及智利、加纳、哥斯达黎加和保加利亚（2019年7月）的银行。

IB集团在其题为“沉默APT”的新报告中发布了更详细的研究结果沉默2.0：走向全球“你可以去看它的报告了解更多信息。