专攻银行系统的Silence APT开始走向全球，重点为亚太地区

更多全球网络安全资讯尽在E安全官网www.easyaq.com

小编来报：Group-IB认为，俄罗斯网络犯罪团伙Silence APT很可能是攻击荷兰孟加拉银行ATM的幕后黑手，此次攻击导致300万美元被盗。

据孟加拉当地媒体报道，荷兰孟加拉银行ATM遭到黑客攻击，导致300万美元被盗。这起网络攻击从数月前开始，最后阶段于5月31日发生在孟加拉首都达卡。7月3日，专注于防范网络攻击的国际公司Group-IB已证实，幕后黑手很可能是俄罗斯网络犯罪集团Silence APT，且银行实际失窃金额要比媒体报道的要高得多。这是Silence最近发动的国际攻击之一，表明该团伙已扩大了攻击面积，并走向全球，目前的重点是亚太地区。

 

在当地媒体发布的闭路电视画面中，可以看到两个蒙面人在荷兰孟加拉银行的ATM上取钱。但他们每次取钱之前都要打电话，这立即引起了Group-IB的威胁情报团队的关注，并猜测他们很可能与金融网络犯罪集团有关。此外，Group-IB的威胁情报团队还意识到，Silence已经在亚洲展开了行动。

 

自2016年以来，Group-IB一直在跟踪Silence，并于2018年9月发布了一份报告《Silence：进入黑暗面》（Silence: Moving into thedarkside），这是第一个详细描述该组织技术和工具的报告。

Group-IB的威胁情报团队收集的信息表明，自2019年2月以来，荷兰孟加拉银行的外部IP103.11.138.47和103.11.138.198与Silence的C＆C（185.20.187.89）进行了通信。网络犯罪分子使用了特洛伊木马Silence.Downloader、Silence.MainModule和Silence.ProxyBot 。其中Silence.MainModule （MD5fd133e977471a76de8a22ccb0d9815b2）允许隐蔽地执行远程命令并从受感染服务器下载文件，Silence.ProxyBot（MD52fe01a04d6beef14555b2cf9a717615c）用于执行代理服务器的任务，并允许攻击者通过受感染的PC将流量从隐藏节点重定向到反向连接服务器。

 

一旦进入银行系统，Silence就会进入下一阶段的攻击——取款。Silence通过破坏银行的卡处理系统，或者使用自定义的Atmosphere软件（用于ATM 头奖（Jackpotting）攻击的工具）来盗取资金。

 

Group-IB恶意代码动态分析负责人RustamMirkasymov分析，Silence正将其目标从独立国家联合体和邻国转移到国际市场，亚洲尤其引起他们的关注。荷兰孟加拉银行不是Silence的首个受害者。Group-IB最近还发现，至少有4个在亚洲的目标受到Silence攻击。

 

关于Silence

Silence是一个活跃的，但非常小的俄罗斯黑客团体。Group-IB于2016年首次检测到该组织的活动。在他们“工作”的过程中，银行管理系统、信用卡处理系统和俄罗斯银行间转账系统遭到了攻击。该团伙的目标主要分布在俄罗斯、乌克兰、白俄罗斯、阿塞拜疆、波兰和哈萨克斯坦，他们也曾向中欧、西欧、非洲和亚洲的银行员工发送了钓鱼邮件。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com

推荐阅读：

• Alexa语音记录会保存多久？亚马逊回复：永久  

• 美国网络司令部警告：伊朗黑客利用Outlook漏洞传播恶意软件  

• 美国2016年大选调查继续，特朗普支持率与俄罗斯巨魔工厂发布推文的数量有关……  

• 安恒EDR：情报云脑探秘“未知领域”

• ISIS支持者公布美国机构的漏洞，并宣布了新的网络行动 

• 日本将限制韩国购买制造智能手机和芯片的材料  

▼点击“阅读原文” 查看更多精彩内容

喜欢记得打赏小E哦！