Содержание
Цели:
- Кража денежных средств
Общее описание
Киберпреступная группа Silence появилась в 2016 году и атаковала организации кредитно-финансовой сферы, преимущественно в России. Целью группы является кража денежных средств через взломанные банкоматы, карточный процессинг, АРМ КБР. С 2018 года группа расширила географию атак и стала атаковать организации по всему миру. В некоторых атаках группа использовала инструменты группы TA505, что может говорить об их кооперации.
Инструменты
- Silence Downloader
- Silence MainModule
- Silence ProxyBot
Атакуемые отрасли
- Финансовый сектор
Атакуемые страны
- Европа
- Северная Америка
- Южная Америка
- Центральная Азия
Альтернативные названия группы
- Отсутствуют
Отчеты Positive Technologies и других исследователей
- https://www.group-ib.com/resources/threat-research/silence-attacks.html
- https://securelist.ru/the-silence/87891/
Тактики из MITRE ATT&CK, использованные группой
ID | Название | Описание |
---|---|---|
Initial Access | ||
T1566.001 | Phishing: Spearphishing Attachment | Группа Silence рассылает электронные письма с вредоносными вложениями в форматах DOCX, CHM, LNK и ZIP |
Execution | ||
T1204.002 | User Execution: Malicious File | Группа Silence пытается заставить пользователей запускать вредоносные вложения, доставляемые по электронной почте |
T1059.001 | Command and Scripting Interpreter: PowerShell | Группа Silence использует в атаках PowerShell-сценарии |
T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа Silence использует командную строку Windows для запуска команд |
T1059.005 | Command and Scripting Interpreter: Visual Basic | Группа Silence использует в атаках VBS-сценарии |
T1059.007 | Command and Scripting Interpreter: JavaScript/JScript | Группа Silence использует в атаках JavaScript-сценарии |
T1106 | Native API | Группа SIlence использует API Windows для выполнения различных задач |
T1064 | Scripting | Группа Silence использует скрипты JavaScript, VBS и PowerShell |
T1203 | Exploitation for Client Execution | Группа Silence использует в своих атаках уязвимости CVE-2017-0199, CVE-2017-0262, CVE-2018-0802, CVE-2018-8174 |
T1569.002 | System Services: Service Execution | Группа Silence использовала утилиту WinExe для установки сервиса на удаленной машине |
Persistence | ||
T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Группа Silence может закрепиться в системе через реестр или папку STARTUP |
Pivilege escalation | ||
T1078.002 | Valid Accounts: Domain Accounts | Группа Silence использовала скомпрометированные учетные данные для входа в систему и повышения привилегий |
Defense Evasion | ||
T1107 | File Deletion | Группа Silence удаляет файлы с задачами для планировщика Windows после их запуска |
T1027 | Obfuscated Files or Information | Группа Silence обфусцирует код ВПО |
T1218.001 | Signed Binary Proxy Execution: Compiled HTML File | Группа Silence использует файлы в формате CHM в своих фишинговых кампаниях |
T1070.004 | Indicator Removal on Host: File Deletion | Группа Silence удаляет артефакты с зараженных компьютеров для сокрытия следов |
T1112 | Modify Registry | Группа Silence модифицирует значения некоторых ключей реестра |
T1036.005 | Masquerading: Match Legitimate Name or Location | Группа Silence маскирует бэкдор под исполняемый файл WINWORD.exe |
T1553.002 | Subvert Trust Controls: Code Signing | Группа Silence использовала легитимные сертификаты для подписи ВПО |
Credential Access | ||
T1003.001 | OS Credential Dumping: LSASS Memory | Группа Silence использовала утилиту Farse6.1 для извлечения учетных данных из дампа процесса lsass.exe |
Discovery | ||
T1082 | System Information Discovery | ВПО группы Silence собирает информацию о зараженной машине |
T1057 | Process Discovery | ВПО группы Silence собирает информацию о процессах |
T1016 | System Network Configuration Discovery | ВПО группы Silence собирает информацию о сетевых параметрах зараженной машины |
T1049 | System Network Connections Discovery | ВПО группы Silence собирает информацию о сетевых соединениях зараженной машины |
T1033 | System Owner/User Discovery | ВПО группы Silence собирает информацию о пользователях скомпрометированной машины |
Lateral movement | ||
T1072 | Software Deployment Tools | Группа Silence использовала RAdmin для удаленного доступа к скомпрометированным машинам и банкоматам |
Collection | ||
T1113 | Screen Capture | Группа Silence делает скриншоты экрана жертвы |
Command And Control | ||
T1571 | Non-Standard Port | Группа Silence использует нестандартные порты для передачи информации о скомпрометированной машине на контрольный сервер |