کمیته رکن چهارم – گروه هکری Silence به دلیل سرقتهای بزرگ از مؤسسات مالی شناخته شده است که اغلب از تکنیک فیشینگ (Phishing) برای نفوذ اولیه استفاده میکند.
محققان امنیتی گزارشی را منتشر کردهاند که در آن حملات اخیر گروه هکری روسی زبان به نام Silence، بررسی شده است. این گروه از مهاجمان ضمن بهکارگیری یک ابزار جدید سفارشی به نام Teleport برای استخراج دادهها از دستگاههای هک شده، از یک دانلودکننده بدافزار به نام Truebot (که به Silence Downloader نیز معروف است) نیز استفاده میکنند.
تحلیل حملات Silence در ماههای گذشته نشان میدهد که این گروه، باجافزار Clop را منتشر کردهاند که معمولاً توسط هکرهای TA505 که با گروه FIN11 مرتبط هستند.
بدافزار Truebot
هکرهای Silence برای توزیع Shellcode مخرب، ابزار Cobalt Strike، بدافزار Grace، ابزار استخراج داده Teleport و باجافزار Clop، بدافزار Truebot را در بیش از ۱۵۰۰ سیستم در سراسر جهان بارگذاری کردهاند.
تحلیل کارزارهای جدید توسط محققان سیسکو نشاندهنده بهکارگیری چندین بردار حمله جدید از مرداد ۱۴۰۱ است.
در تعداد کمی از حملات در بازه زمانی مرداد و شهریور ۱۴۰۱، هکرها پس از بهرهجویی از آسیبپذیری حیاتی CVE-2022-31199 در سرورهای Netwrix Auditor، سیستمها را باTruebot آلوده کردند.
در مهر ۱۴۰۱، این مهاجمان به استفاده از درایوهای USB برای آلودهکردن سیستمها به کرم Raspberry Robin روی آوردهاند که اغلب کدهای مخرب IcedID، Bumblebee و Truebot را بارگذاری میکند.
شرکت مایکروسافت نیز در مهر ۱۴۰۱ در گزارشی از بهکارگیری کرم Raspberry Robin برای توزیع باجافزار Clop توسط گروهی به نام DEV-۰۹۵۰ خبر داد که فعالیت مخرب آنها با هکرهای TA505 و گروه FIN11 شباهت دارد.
محققان سیسکو، تاکنون دو باتنت مختلف که از بدافزار Truebot استفاده کردهاند را شناسایی کردهاند. یکی از اینها علاوه بر بهکارگیری بدافزار Truebot از کرم Raspberry Robin استفاده کرده که منجر به ایجاد یک شبکه مخرب (Botnet) و آلودگی بیش از ۱۰۰۰ سیستم در سراسر جهان شده است.
به نظر میرسد باتنت دوم، روی آمریکا متمرکز شده بهنحویکه از میان بیش از ۵۰۰ آلودگی شناسایی شده، حدود ۷۵ درصد آنها در آمریکا بوده است.
درحالیکه دستگاه قربانیان باتنت اول بیشتر سیستمهای از نوع Desktop که مستقیماً از طریق اینترنت در دسترس نبودند است، باتنت دوم صرفاً آن دسته از سرورهای تحت Windows را هدف قرار داده است که مستقیماً به اینترنت متصل هستند. ضمن آنکه باتنت دوم بر روی این سرورهای تحت Windows به سرویسهای SMB، RDP و WinRM حمله کرده اما جالب است که Netwrix Auditor در فهرست اهداف باتنت دوم نیست.
این نشان میدهد که مهاجمان Silence برای انتشار باجافزار Clop از ترفندهای دیگری برای آلودگی و انتشار باجافزار در شبکه استفاده میکنند؛ اگرچه هنوز محققان بردار حمله مرتبط با آن را شناسایی نکردهاند.
بدافزار Truebot ماژول مرحله اول است که اطلاعات پایه را جمعآوری کرده و توانایی گرفتن تصویر از صفحهنمایش (Screenshot) را دارد. همچنین اطلاعات ارتباطات امن Active Directory را رمزگشایی کرده و این به مهاجمان کمک میکند تا فعالیتهای خود را پس از انتشار آلودگی برنامهریزی کنند.
سپس سرور کنترل و فرماندهی (Command and Control – بهاختصار C2) میتواند به Truebot فرمانی صادر کند تا shellcode یا DLL را در حافظه بارگذاری کرده، ماژولهای اضافی را اجرا ، خودش را حذف یا فایلهای DLL، EXE، BAT و PS1 را دانلود کند.
Teleport؛ ابزار جدید استخراج داده
در فاز پس از آلودگی، هکرها از بدافزار Truebot برای دریافتCobalt Strike یا بدافزار Grace (که با نامهای FlawedGrace و GraceWire نیز شناخته میشود) استفاده میکنند که این عملیات به گروه مجرمان سایبری TA505 نسبتدادهشده است.
پس از آن مهاجمان، Teleport را مستقر میکنند که سیسکو آن را یک ابزار سفارشی جدید مبتنی بر C++ توصیف میکند؛ این ابزار به هکرها اجازه میدهد تا دادهها را بدون جلبتوجه سرقت کنند. علاوه بر این کانال ارتباطی بین Teleport و سرور C۲ رمزگذاری شده است.
مهاجمان میتوانند سرعت آپلود را محدود کنند، برای سرقت تعداد بیشتری از فایلها، آنها را بر اساس اندازه فیلتر یا Payload را حذف کنند. تمامی این موارد برای مخفی ماندن ردپای مهاجمان بر روی دستگاه قربانی طراحی شده است.
ابزار Teleport همچنین دارای گزینههایی برای سرقت فایلها از پوشههای OneDrive، جمعآوری ایمیلهای Outlook قربانی یا هدف قراردادن فایلهای دارای پسوند خاص است.
در برخی موارد مهاجمان، باجافزار Clop را پس از نفوذ هر چه بیشتر آلودگی به سیستمهای مجاور با کمک Cobalt Strike، منتشر میکنند.
بنا بر اظهارات محققان سیسکو، در طول مراحل اکتشاف و توسعه آلودگی به سیستمهای مجاور، مهاجمان سرورها و ایستگاههای کاری کلیدی را بررسی کرده، به پایگاههای داده SQL متصل میشدند و دادهها را که با استفاده از ابزار Teleport جمعآوری میکردند به سرور تحت کنترل مهاجم ارسال میکردند.
فعالیت گروه هکری Silence
محققان در شرکت امنیت سایبری Group-IB از سال ۲۰۱۶ فعالیت گروه هکری Silence/Truebot را ردیابی میکنند؛ در ابتدا این هکرها مخفیانه به یک بانک نفوذ کرده؛ اما به دلیل مشکل و خطا در عملیات پرداخت موفق به سرقت و انتقال پول نشدند.
مهاجمان با حمله مجدد به همان هدف، برای نظارت بر فعالیت کارکنان بانک، از صفحهنمایش سیستمهای هک شده، ویدئو و عکس گرفتند تا نحوه انتقال پول را بیاموزند.
بنا بر اظهارات این شرکت، گروه هکری Silence/Truebot اولین سرقت موفق خود را در سال ۲۰۱۷ انجام داد و به سیستمهای خودپرداز حمله کرده و بیش از ۱۰۰ هزار دلار را در یک شب به سرقت برد. Silence به حملات خود ادامه داد و طی سه سال – بین سالهای ۲۰۱۶ تا ۲۰۱۹ – حداقل ۴.۲ میلیون دلار از بانکهای کشورهای مختلف به سرقت برد.
محققان Group-IB هکرهای Silence را بسیار ماهر میدانند؛ این هکرها میتوانند با مهندسی معکوس، بدافزار را بر اساس اهداف خود تغییر داده و دستکاری کنند یا از بهرهجو (Exploit) در سطح اسمبلر (Assembler) استفاده کنند.
در ابتدا، مهاجمان Silence تنها سازمانهایی را در روسیه هدف قرار میدادند، اما اکنون دامنه حملات خود را در سطح جهانی گسترش دادهاند.
منبع : مرکز مدیریت راهبردی افتا
