Diğer Adlar:
· ATK86
· TAG-CR8
Hedef Aldıkları Sektörler: Finansal Servisler, Devlet Kurumları
Motivasyonlar ve Hedefler:
· Organizasyonel Kazanç
Silence Group, 2016'nın sonundan beri aktif olan ve tüm dünyada çoğunlukla bankalara saldıran bir siber suç grubudur. Grubun Rusya'dan olduğuna inanılıyor, çünkü saldırılarının çoğu (en azından başlangıçta) eski Sovyetler Birliği ülkelerindeki bankalara yönelikti. Ayrıca, oltalama e-postalarında çok yüksek düzeyde Rusça kullandıkları ve araçlarının bazı komutlarının Rusça olduğu görüldü.
Bununla birlikte, yıllar geçtikçe grup, Doğu Asya, Avrupa gibi dünyanın her yerindeki bankalara saldırmaya yöneldi. Grup, bankalara yönelik saldırıyı en üst düzeye çıkarmak için genellikle potansiyel kurbanı incelemek için uzun zaman alan karmaşık ve derin saldırıları ile tanınır. Çoğu durumda, spearphishing e-postaları, banka çalışanlarına kötü amaçlı bir dosya eklenmiş olarak gönderilirdi. Bu genellikle veri çalma,, kurbanları izleme ve daha pek çok özelliğe sahip olan Silence Truva Atı'nı indirdi.
Ayrıca grup, Atmosphere gibi özellikle ATM'lere saldırmak için kötü amaçlı yazılımlar kullanıyor. Bu sayede, grup yıllar boyunca çoğu Rusya ve Doğu Avrupa'daki bankalardan milyonlarca dolar çalmayı başardı. Genel olarak, grup son derece aktif olmaya devam ediyor.
Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler
Zararlı Yazılımlar | Sömürülen Zaafiyetler | Diğer Yazılımlar |
Özel Araçlar Silanced Downloader (TrueBot, MainModule) SurveillanceModule Kikothac Atmosphere Farse Ivoke EDA xfs-disp.exe Birçok Tehdit Aktörü Tarafından Kullanılan Araçlar Perl IrcBot Smoke Bot Halka Açık Ulaşılabilir Araçlar Meterpreter
| CVE-2017-11882 CVE-2017-0199 CVE-2018-0802 CVE-2018-8174 CVE-2017-0262 | RAdmin |
Hedef Aldığı Ülkeler: Türkiye, Ermenistan, Avusturya, Azerbaycan, Bangladeş, Belarus, Çek Cumhuriyeti, Gürcistan, Almanya, Yunanistan, Hong Kong, İsrail, Kazakistan, Kenya, Kırgızistan, Letonya, Malezya, Polonya, Romanya, Rusya, Sırbistan, İsviçre, Tayvan, Ukrayna, İngiltere, Özbekistan, Vietnam
Kampanyalar
Temmuz – Ağustos 2016: Rusya Merkez Bankası'nın Otomatik İş İstasyonu İstemcisininin hedeflenmesi: Grup, Rus bankaları arasında para transferini sağlayan Rusya Merkez Bankası'nın Otomatik İş İstasyonu İstemcisine (AWS CBR) erişim kazandı. İstasyon bir Rus bankasının bir bölümünde bulunuyordu ve grup oradan geçerek fon sağlamaya çalıştı. Ancak, ödeme emrinin uygun olmayan şekilde hazırlanması nedeniyle saldırı bankanın kendisi tarafından engellendi. Bir ay sonra, grup aynı bankanın bir sunucusuna erişim kazandı ve bu kez saldırganlara gönderilen ekran çekimlerini alan bir yazılım indirdi. Bu saldırı, herhangi bir değerli bilgi çalınmadan durdurulmuştur.
Eylül 2017 – Bankaların Hedef Alınması: Rusya, Malezya ve Ermenistan'daki bankalara hedefli saldırı başlatıldı. Bu durumda grup, bankaların iç ağlarına erişim sağladı ve ardından günlük işlerini inceledi. Bu aşama, onu daha başarılı kılacak çok odaklı bir saldırı oluşturmak içindi. Grup ayrıca, kurbanların güvenliğini tehlikeye atmak için kötü amaçlı eklentiler içeren spear phishing e-postaları kullandı.
Ekim 2017 – ATM’lere yönelik saldırılar: Silent Group, ATM'lere saldırdı ve Truva atlarını kontrol etmek için IRC kanallarını kullanan DDoS saldırılarının yanı sıra bir Rus bankasından yüz binlerce dolar çaldı. AWS CBR sistemine tekrar erişimleri olmasına rağmen, bu sefer bu sistemi exploit etmeye çalışmadılar.
Ocak – Şubat 2018: Finansal Kurumlara Yönelik Saldırılar: İngiltere, Hindistan ve Rusya'daki finans kurumları saldırıya uğradı ve çoğu başarıyla sonuçlandı. Çoğu durumda saldırıda kötü amaçlı word dökümanları kullanıldı.
Şubat- Nisan 2018: Rusya ve Doğu Avrupa Bankalarına Yönelik Saldırılar: Rus ve Doğu Avrupa bankalarına yönelik iki saldırı kapsamında yüz binlerce dolar çalındı. İlk durumda, kart işleme(card processing) yoluyla yarım milyon dolardan fazla çaldılar. İkincisi, fonları çalmak için ATM'lerde kendi araçlarını kullandıktan sonra yaklaşık 150.000 dolar çaldılar.
Mayıs- Ekim 2018: Rusya Bankalarına Yönelik Spear Phishing Kampanyaları: E-postalar, Silence Trojan'ı yüklemek için CVE-2017- 11882 güvenlik açığı içeren sistemlerin bulunduğu Rusya'daki bankalara gönderildi. İlk saldırı Rus bankalarına, ikincisi Hindistan'daki bir bankaya yönelikti.
Ekim 2018 - Ocak 2019: Bankalara yönelik keşif kampanyaları: Grup, farklı bölgelerdeki bankalara karşı üç keşif kampanyası başlattı. Kampanyaların bir parçası olarak, bir resim veya bağlantıyla, ancak kötü niyetli bir payload olmadan farklı hedeflere on binlerce e-posta gönderildi. Bu kampanyanın amacı, e-posta listelerini (aktif e-postalarla) güncellemek ve siber güvenlik savunmalarını görmekti. Kampanya, Güney Asya ülkelerine (Tayvan, Malezya ve Güney Kore), eski Sovyetler Birliği ülkelerine (Kırgızistan, Kazakistan ve Ukrayna) ve Avrupa'ya karşı başlatıldı. Çoğu durumda, kimlik avı e-postalarını alan kurbanlar banka çalışanlarıydı.
Mart – Mayıs 2019: ATM Atakları: Mayıs 2019'un sonunda, birkaç kişi birkaç gün içinde Bangladeş bankası Dutch-Bangla'dan büyük miktarlarda para çaldı. Bunun nasıl mümkün olduğu ile ilgili iki olasılık ortaya çıktı: daha önce saldırıya uğrayan cihazlara yerleştirilen Atmosfer Truva Atı'nı kullanarak veya kart işleme(card processing) mekanizması aracılığıyla. Diğer iki Bangladeş bankası da (NCC Bank ve Prime Bank) aynı anda saldırıya uğradı, ancak saldırı engellendi.
Haziran- Temmuz 2019: EDA Trojan Kullanarak Bankaların Hedef Alınması: Grup Rusya, Şili, Bulgaristan, Kosta Rika ve Gana'daki bankalara saldırdı. Bu saldırıların bazılarında EDA Truva Atı kullanıldı.
Haziran- Temmuz 2019: Rus IT Bankasına Yönelik Saldırılar: Başlangıçta, Uluslararası Finans Forumu iFin-2019 davetiyelerine benzeyen kötü niyetli bir ek içeren e-postalar, Rus IT bankasının çalışanlarına gönderildi. E-posta, Silence kötü amaçlı yazılımın en son sürümünü dağıtan bir ZIP eki içeriyordu.
Taktik ve Teknikler (MITRE ATT&CK Framework
Initial Access
T1566.001 – Phishing: Spearphishing Attachment
Execution
T1035 - Service Execution
T1053.005 – Scheduled Task/Job: Scheduled Task
T1059.001 - Command and Scripting Interpreter: PowerShell
T1106 - Execution through API
T1170 - Mshta
T1203 - Exploitation for Client Execution
T1204 - User Execution
T1223 - Compiled HTML File
Persistence
T1053.005 – Scheduled Task/Job: Scheduled Task
T1060 - Registry Run Keys / Startup Folder
Privilege Escalation
T1053.005 – Scheduled Task/Job: Scheduled Task
T1134 - Access Token Manipulation
Defense Evasion
T1027 - Obfuscated Files or Information
T1059 - Scripting
T1070.004 - Indicator Removal on Host: File Deletion
T1134 - Access Token Manipulation
T1140 - Deobfuscate/Decode Files or Information
T1170 - Mshta
T1223 - Compiled HTML File
Discovery
T1082 - System Information Discovery
Lateral Movement
T1544 - Remote File Copy
Collection
T1113 - Screen Capture
T1125 - Video Capture
Command and Control
T1043 - Commonly Used Port
T1071 - Application Layer Protocol
T1079 - Multilayer Encryption
T1544 - Remote File Copy
T1132 - Data Encoding
T1219 - Remote Access Tools
Exfiltration
T1022 - Data Encrypted
Impact
T1489 - Service Stop
0 Yorumlar