2017年9月,卡巴斯基实验室研究人员发现一系列最新的针对性攻击,其目标为多个地区的至少十家金融机构,包括俄罗斯、亚美尼亚和马来西亚。
2017年9月,卡巴斯基实验室研究人员发现一系列最新的针对性攻击,其目标为多个地区的至少十家金融机构,包括俄罗斯、亚美尼亚和马来西亚。这些攻击是由一个新的被称为Silence的攻击组织实施的。在窃取受害者的资金时,Silence会采用与臭名昭著的威胁攻击者Carbanak相似的特定攻击技巧。目前攻击仍在继续。
Silence位列最具破坏性和最复杂的网络抢劫行动之列,与Metel、GCMAN和Carbanak一样,已经成功从金融机构窃取了数百万美元。这些攻击行动大部分都采用了以下技术:长期持续访问银行内部网络,监控其日常活动,检查每个银行网络的细节,然后在适当的时候使用这些情报窃取尽可能多的钱。
Silence木马的攻击正是这种情况——通过鱼叉式钓鱼邮件先入侵受害者的基础设施。
钓鱼邮件中的恶意附件非常复杂。一旦受害者打开附件,只需点击一下,就会启动一系列下载,最终运行恶意软件释放器。释放器会与命令控制服务器进行通讯,将受感染计算机的ID发送过去,同时下载和执行恶意有效载荷,负责执行多种任务,例如录制屏幕、上传数据、窃取登陆凭证和进行远程控制等。
有意思的是,网络罪犯利用已经被感染的金融机构的基础设施进行新的攻击,通过从真实的员工地址向新的受害者发送电子邮件以及开设银行账户的请求。使用这种伎俩,网络罪犯确保收件人对不会对感染介质产生怀疑。
当网络犯罪分子在网络中站稳脚跟后,就开始检查对网络进行检查。 Silence攻击组织能够监视受害者的活动,包括拍摄受害者活动画面的多个截图,提供所有受害者活动的实时视频流等。所有这些功能都有一个目的:了解受害者的日常活动并获得足够的信息,最终实现窃取资金的目的。 这个过程和风格非常类似于Carbanak使用的技术。
在对这次攻击的恶意组件进行调查时,基于在其中发现的语言特征,卡巴斯基实验室安全研究人员得出结论,认为Silence攻击幕后的网络罪犯使用俄语。
“Silence木马是网络罪犯从攻击用户,转到直接攻击银行的一个最新例子。我们发现这种趋势最近增长迅速,出现越来越多的成功的专业APT风格的网络抢劫事件。最让人担心的是由于这些攻击都在暗处,不管每个银行的安全架构如何不同,攻击者都可能成功,”卡巴斯基实验室安全专家Sergey Loazhkin说。
为保护自己抵御可能出现的网络攻击,卡巴斯基实验室建议各个机构和组织采取以下措施:
- 使用可以抵御高级威胁的专用解决方案,这种解决方案能够检测各种类型的异常,并在更深层次审查可以文件,发现和识别复杂攻击——例如卡巴斯基反针对性攻击平台。
- 完全消除安全漏洞,包括涉及不当系统配置或专有应用程序错误的安全漏洞。针对这一需求,卡巴斯基渗透测试和应用安全评估服务是一个方便而高效的解决方案,不仅提供发现的漏洞的数据,而且还能够提供建议,帮助用户解决问题和修复漏洞,进一步加强企业安全。
- 配置严格的邮件处理规则,使用具有专门应对钓鱼攻击、恶意附件和垃圾邮件功能的安全解决方案,例如采用了云辅助的反钓鱼和附件过滤功能的卡巴斯基端点安全解决方案和针对性安全解决方案,增强针对邮件的保护。
更多有关Silence木马详情以及相关感染迹象,请浏览Securelist.com.
卡巴斯基情报报告服务客户可以获取更多有关Silence木马的详情。
