俄羅斯駭客組織攻擊全球30國銀行掠財，台灣為亞洲首要目標

安全公司偵測到一個名為Silence的俄羅斯駭客組織，近年對全球超過30國銀行發動攻擊以竊取財產，台灣成為這個組織在亞洲攻擊最頻繁的目標。

安全公司Group-IB本周公佈報告，Silence從2016年6月竄起，並以俄羅斯為起點逐步擴散，鎖定全球金融業發動攻擊，如今已成為金融業最活躍的駭客組織之一。

為了躲避安全產品的偵測，Silence近年使用的攻擊工具也大幅改進，包括加密字母表、字串加密工具、殭屍指令及主要攻擊模組。他們也改寫了用作第一階段的攻擊模組Truebot下載器（loader）成Silence.Downloader、還開始使用以PowerShell寫成的無檔案下載器Ivoke、EDA代理程式，並積極開始發動無檔案攻擊進行。他們的手法還包括發送偵察式電子郵件（reconnaissance email），這種郵件假冒是傳送失敗的系統自動回覆信件，雖沒有攻擊程式，但可以蒐集有效電子郵件信箱，作為未來攻擊的準備。

Group-IB研究人員發現，Silence從去年10月開始攻擊範圍擴及前蘇聯國家、歐洲，並在11月觸及亞洲。根據分析，Silence在當月發了17萬封偵察式電子郵件，包括亞洲的8萬封，其中台灣以2.1萬封居榜首、其次是馬來西亞（1.6萬封）及南韓（8,800封）。光是今年就有30多個國家金融機構的工作站，遭Silence惡意程式感染。

一旦驗證為有效電子郵件信箱後，駭客就開始發送載有攻擊程式的惡意郵件，接著以其工具滲透受害銀行的內部網路及橫向移動。如果金融機構安全防護技術未能偵測到，最後駭客得以控制信用卡處理中心、並以Atmosphere木馬或名為xfs-disp.exe的程式控制提款機在特定時間吐鈔，並由外部車手取款。

研究人員發現，這個組織和今年6月一個跨洲感染遠端存取木馬程式FlawedAmmyy有關，當時安全產業以TA505稱呼背後組織，Group-IB發現它和Silence撰寫的Silence.Downloader甚為相似。在FlawedAmmyy隨網釣郵件向全球各洲金融與零售業蔓延，台灣也在受害範圍中。