Silence APT, un grupo criminal cibernético de habla rusa, conocido por dirigirse a las organizaciones financieras, principalmente en los estados de la ex Unión Soviética y países vecinos, ahora está atacando agresivamente a bancos en más de 30 países de América, Europa, África y Asia.
Activo desde al menos septiembre de 2016, la campaña exitosa más reciente del grupo Silence APT fue contra el Dutch-Bangla Bank, con sede en Bangladesh, que perdió más de 3 millones de dólares durante una serie de retiros de efectivo en cajeros automáticos en un período de varios días.
Según un nuevo informe de la empresa de ciberseguridad Group-IB, con sede en Singapur, compartido con The Hacker News, el grupo de piratas, ha ampliado significativamente su geografía en los últimos meses, ha aumentado la frecuencia de sus campañas de ataque, así como su arsenal.
El informe también describe la evolución del grupo Silence hacking, que ha pasado de ser “hackers jóvenes y altamente motivados” a ser uno de los más sofisticados grupos de amenaza persistente avanzada (APT), que en la actualidad supone una amenaza para los bancos de todo el mundo.
El grupo de hacking de Silence APT ha actualizado su TTP (tácticas, técnicas y procedimientos) y ha cambiado sus alfabetos de encriptación, encriptación de cadenas y comandos para el bot y el módulo principal con el fin de eludir la detección por parte de las herramientas de seguridad.
“Además, el actor ha reescrito completamente TrueBot loader, el módulo de la primera etapa, del que depende el éxito de todo el ataque del grupo. Los ciberdelincuentes también comenzaron a usar Ivoke, un cargador sin archivo, y el agente EDA, ambos escritos en PowerShell”, apuntaron los investigadores.
EDA es un agente de PowerShell, diseñado para controlar sistemas comprometidos mediante la realización de tareas a través del shell de comandos y túneles de tráfico utilizando el protocolo DNS, y se basa en los proyectos Empire y dnscat2.
Al igual que la mayoría de los grupos de hacking, la banda Silence también confía en los correos electrónicos de pesca submarina con macros Docs o exploits, archivos CHM y accesos directos LNK como archivos adjuntos maliciosos para comprometer inicialmente a sus víctimas.
Una vez en una organización víctima, el grupo aprovecha los TTP más sofisticados e implementa malware adicional, ya sea TrueBot o un nuevo cargador PowerShell sin archivo llamado Ivoke, ambos diseñados para recopilar información sobre un sistema infectado y enviarlo a un servidor CnC intermedio.
Para elegir sus objetivos, el grupo crea primero una “lista de objetivos” actualizada de direcciones de correo electrónico activas mediante el envío de “correos electrónicos de reconocimiento”, que suelen contener una imagen o un enlace sin una carga útil maliciosa.
“Estas campañas ya no se centraban sólo en Rusia y los países de la antigua Unión Soviética, sino que se extendieron por Asia y Europa. Desde nuestro último informe público, Silence ha enviado más de 170.000 correos electrónicos de reconocimiento a bancos de Rusia, la antigua Unión Soviética, Asia y Europa”, dice el informe.
“En noviembre de 2018, Silence intentó apuntar al mercado asiático por primera vez en su historia. En total, Silence envió unos 80.000 correos electrónicos, de los cuales más de la mitad se dirigieron a Taiwán, Malasia y Corea del Sur”.
Con las últimas campañas del grupo Silence APT -desde mayo de 2018 hasta el 1 de agosto de 2019- los investigadores describieron el aumento de los daños causados por sus operaciones, y confirmaron que la cantidad de fondos robados por la organización criminal, se había quintuplicado desde su etapa inicial, estimando una pérdida total de 4,2 millones de dólares.
Además, los investigadores del Group-IB también sospechan que TrueBot (también conocido como Silence.Downloader) y FlawedAmmy loader han sido desarrollados por la misma persona, ya que ambos malware fueron firmados con el mismo certificado digital.
Con información de: The Hacker News.