示意圖

安全公司偵測到一個名為Silence的俄羅斯駭客組織,近年對全球超過30國銀行發動攻擊以竊取財產,台灣成為這個組織在亞洲攻擊最頻繁的目標。

安全公司Group-IB本周公佈報告,Silence從2016年6月竄起,並以俄羅斯為起點逐步擴散,鎖定全球金融業發動攻擊,如今已成為金融業最活躍的駭客組織之一。

為了躲避安全產品的偵測,Silence近年使用的攻擊工具也大幅改進,包括加密字母表、字串加密工具、殭屍指令及主要攻擊模組。他們也改寫了用作第一階段的攻擊模組Truebot下載器(loader)成Silence.Downloader、還開始使用以PowerShell寫成的無檔案下載器Ivoke、EDA代理程式,並積極開始發動無檔案攻擊進行。他們的手法還包括發送偵察式電子郵件(reconnaissance email),這種郵件假冒是傳送失敗的系統自動回覆信件,雖沒有攻擊程式,但可以蒐集有效電子郵件信箱,作為未來攻擊的準備。

Group-IB研究人員發現,Silence從去年10月開始攻擊範圍擴及前蘇聯國家、歐洲,並在11月觸及亞洲。根據分析,Silence在當月發了17萬封偵察式電子郵件,包括亞洲的8萬封,其中台灣以2.1萬封居榜首、其次是馬來西亞(1.6萬封)及南韓(8,800封)。光是今年就有30多個國家金融機構的工作站,遭Silence惡意程式感染。

一旦驗證為有效電子郵件信箱後,駭客就開始發送載有攻擊程式的惡意郵件,接著以其工具滲透受害銀行的內部網路及橫向移動。如果金融機構安全防護技術未能偵測到,最後駭客得以控制信用卡處理中心、並以Atmosphere木馬或名為xfs-disp.exe的程式控制提款機在特定時間吐鈔,並由外部車手取款。

研究人員發現,這個組織和今年6月一個跨洲感染遠端存取木馬程式FlawedAmmyy有關,當時安全產業以TA505稱呼背後組織,Group-IB發現它和Silence撰寫的Silence.Downloader甚為相似。在FlawedAmmyy隨網釣郵件向全球各洲金融與零售業蔓延,台灣也在受害範圍中。


Advertisement

更多 iThome相關內容