Содержание
Цели:
- Кража денежных средств
Общее описание
Киберпреступная группа Silence появилась в 2016 году и атаковала организации кредитно-финансовой сферы, преимущественно в России. Целью группы является кража денежных средств через взломанные банкоматы, карточный процессинг, АРМ КБР. С 2018 года группа расширила географию атак и стала атаковать организации по всему миру. В некоторых атаках группа использовала инструменты группы TA505, что может говорить об их кооперации.
Инструменты
- Silence Downloader
- Silence MainModule
- Silence ProxyBot
Атакуемые отрасли
- Финансовый сектор
Атакуемые страны
- Европа
- Северная Америка
- Южная Америка
- Центральная Азия
Альтернативные названия группы
- Отсутствуют
Отчеты Positive Technologies и других исследователей
- https://www.group-ib.com/resources/threat-research/silence-attacks.html
- https://securelist.ru/the-silence/87891/
Тактики из MITRE ATT&CK, использованные группой
| ID | Название | Описание |
|---|---|---|
| Initial Access | ||
| T1566.001 | Phishing: Spearphishing Attachment | Группа Silence рассылает электронные письма с вредоносными вложениями в форматах DOCX, CHM, LNK и ZIP |
| Execution | ||
| T1204.002 | User Execution: Malicious File | Группа Silence пытается заставить пользователей запускать вредоносные вложения, доставляемые по электронной почте |
| T1059.001 | Command and Scripting Interpreter: PowerShell | Группа Silence использует в атаках Powershell сценарии |
| T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа Silence использует командную строку Windows для запуска команд |
| T1059.005 | Command and Scripting Interpreter: Visual Basic | Группа Silence использует в атаках VBS сценарии |
| T1059.007 | Command and Scripting Interpreter: JavaScript/JScript | Группа SIlence использует в атаках JavaScript сценарии |
| T1106 | Native API | Группа SIlence использует API Windows для выполнения различных задач |
| T1064 | Scripting | Группа Silence использует JavaScript-, VBS- и PowerShell-скрипты |
| T1203 | Exploitation for Client Execution | Группа Silence использует в своих атаках уязвимости CVE-2017-0199, CVE-2017-0262, CVE-2018-0802, CVE-2018-8174 |
| T1569.002 | System Services: Service Execution | Группа Silence использовала утилиту WinExe для установки сервиса на удаленной машине |
| Persistence | ||
| T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Группа Silence может закрепиться в системе через реестр или папку STARTUP |
| Pivilege escalation | ||
| T1078.002 | Valid Accounts: Domain Accounts | Группа Silence использовала скомпрометированные учетные данные для входа в систему и повышения привелегий |
| Defense Evasion | ||
| T1107 | File Deletion | Группа Silence удаляет файлы с задачами для планировщика Windows после их запуска |
| T1027 | Obfuscated Files or Information | Группа Silence обфусцирует код ВПО |
| T1218.001 | Signed Binary Proxy Execution: Compiled HTML File | Группа Silence использует файлы в формате CHM в своих фишинговых кампаниях |
| T1070.004 | Indicator Removal on Host: File Deletion | Группа Silence удаляет артефакты с зараженных компьютеров для сокрытия следов |
| T1112 | Modify Registry | Группа Silence модифицирует значения некоторых ключей реестра |
| T1036.005 | Masquerading: Match Legitimate Name or Location | Группа Silence маскирует бэкдор под исполняемый файл «WINWORD.exe» |
| T1553.002 | Subvert Trust Controls: Code Signing | Группа Silence использовала легитимные сертификаты для подписи ВПО |
| Credential Access | ||
| T1003.001 | OS Credential Dumping: LSASS Memory | Группа Silence использовала утилиту Farse6.1 для извлечения учетных данных из дампа процесса lsass.exe |
| Discovery | ||
| T1082 | System Information Discovery | ВПО группы Silence собирает информацию о зараженной машине |
| T1057 | Process Discovery | ВПО группы Silence собирает информацию о процессах |
| T1016 | System Network Configuration Discovery | ВПО группы Silence собирает информацию о сетевых параметрах зараженной машины |
| T1049 | System Network Connections Discovery | ВПО группы Silence собирает информацию о сетевых соединениях зараженной машины |
| T1033 | System Owner/User Discovery | ВПО группы Silence собирает информацию о пользователях скомпрометированной машины |
| Lateral movement | ||
| T1072 | Software Deployment Tools | Группа Silence использовала RAdmin для удаленного доступа к скомпрометированным машинам и банкоматам |
| Collection | ||
| T1113 | Screen Capture | Группа Silence делает скриншоты экрана жертвы |
| Command And Control | ||
| T1571 | Non-Standard Port | Группа Silence использует нестандартные порты для передачи информации о скомпрометированной машине на контрольный сервер |
