Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак.

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    MaxPatrol VM

    Система управления уязвимостями нового поколения

    PT Application Inspector

    Анализатор защищенности приложений

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    XSpider

    Сканер уязвимостей

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    PT Application Firewall

    Защита приложений от веб-атак

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Open Source
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP партнеры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    Клиенты
    Пресс-центр
    Новости
    Инвесторам
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
Меню
  • Главная
  • Исследования
  • Хакерские группировки
  • Silence

Silence

Атакуемые отрасли:
  • Финансовый сектор

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Кража денежных средств

Общее описание

Киберпреступная группа Silence появилась в 2016 году и атаковала организации кредитно-финансовой сферы, преимущественно в России. Целью группы является кража денежных средств через взломанные банкоматы, карточный процессинг, АРМ КБР. С 2018 года группа расширила географию атак и стала атаковать организации по всему миру. В некоторых атаках группа использовала инструменты группы TA505, что может говорить об их кооперации.

Инструменты

  • Silence Downloader
  • Silence MainModule
  • Silence ProxyBot

Атакуемые отрасли

  • Финансовый сектор

Атакуемые страны

  • Европа
  • Северная Америка
  • Южная Америка
  • Центральная Азия

Альтернативные названия группы

  • Отсутствуют

Отчеты Positive Technologies и других исследователей

  • https://www.group-ib.com/resources/threat-research/silence-attacks.html
  • https://securelist.ru/the-silence/87891/

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Initial Access
T1566.001 Phishing: Spearphishing Attachment Группа Silence рассылает электронные письма с вредоносными вложениями в форматах DOCX, CHM, LNK и ZIP
Execution
T1204.002 User Execution: Malicious File Группа Silence пытается заставить пользователей запускать вредоносные вложения, доставляемые по электронной почте
T1059.001 Command and Scripting Interpreter: PowerShell Группа Silence использует в атаках Powershell сценарии
T1059.003 Command and Scripting Interpreter: Windows Command Shell Группа Silence использует командную строку Windows для запуска команд
T1059.005 Command and Scripting Interpreter: Visual Basic Группа Silence использует в атаках VBS сценарии
T1059.007 Command and Scripting Interpreter: JavaScript/JScript Группа SIlence использует в атаках JavaScript сценарии
T1106 Native API Группа SIlence использует API Windows для выполнения различных задач
T1064 Scripting Группа Silence использует JavaScript-, VBS- и PowerShell-скрипты
T1203 Exploitation for Client Execution Группа Silence использует в своих атаках уязвимости CVE-2017-0199, CVE-2017-0262, CVE-2018-0802, CVE-2018-8174
T1569.002 System Services: Service Execution Группа Silence использовала утилиту WinExe для установки сервиса на удаленной машине
Persistence
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Группа Silence может закрепиться в системе через реестр или папку STARTUP
Pivilege escalation
T1078.002 Valid Accounts: Domain Accounts Группа Silence использовала скомпрометированные учетные данные для входа в систему и повышения привелегий
Defense Evasion
T1107 File Deletion Группа Silence удаляет файлы с задачами для планировщика Windows после их запуска
T1027 Obfuscated Files or Information Группа Silence обфусцирует код ВПО
T1218.001 Signed Binary Proxy Execution: Compiled HTML File Группа Silence использует файлы в формате CHM в своих фишинговых кампаниях
T1070.004 Indicator Removal on Host: File Deletion Группа Silence удаляет артефакты с зараженных компьютеров для сокрытия следов
T1112 Modify Registry Группа Silence модифицирует значения некоторых ключей реестра
T1036.005 Masquerading: Match Legitimate Name or Location Группа Silence маскирует бэкдор под исполняемый файл «WINWORD.exe»
T1553.002 Subvert Trust Controls: Code Signing Группа Silence использовала легитимные сертификаты для подписи ВПО
Credential Access
T1003.001 OS Credential Dumping: LSASS Memory Группа Silence использовала утилиту Farse6.1 для извлечения учетных данных из дампа процесса lsass.exe
Discovery
T1082 System Information Discovery ВПО группы Silence собирает информацию о зараженной машине
T1057 Process Discovery ВПО группы Silence собирает информацию о процессах
T1016 System Network Configuration Discovery ВПО группы Silence собирает информацию о сетевых параметрах зараженной машины
T1049 System Network Connections Discovery ВПО группы Silence собирает информацию о сетевых соединениях зараженной машины
T1033 System Owner/User Discovery ВПО группы Silence собирает информацию о пользователях скомпрометированной машины
Lateral movement
T1072 Software Deployment Tools Группа Silence использовала RAdmin для удаленного доступа к скомпрометированным машинам и банкоматам
Collection
T1113 Screen Capture Группа Silence делает скриншоты экрана жертвы
Command And Control
T1571 Non-Standard Port Группа Silence использует нестандартные порты для передачи информации о скомпрометированной машине на контрольный сервер

Группировки, атакующие такие же отрасли:

  • Cobalt
  • RTM (Read The Manual)
  • Winnti
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • PT Sandbox
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • XSpider
  • PT Application Firewall
  • PT Application Inspector
  • PT Platform 187
  • ПТ Ведомственный центр
  • PT Network Attack Discovery
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
  • Open Source
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP партнеры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • Клиенты
  • Пресс-центр
  • Новости
  • Инвесторам
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Positive Technologies
Copyright © 2002-2021 Positive Technologies
Мы в социальных сетях:
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта
Copyright © 2002-2021 Positive Technologies
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта