Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ແຈ້ງເຕືອນ ກຸ່ມແຮັກເກີ Silence ເນັ້ນເປົ້າໝາຍໂຈມຕີສະຖາບັນທາງການເງີນທົ່ວໂລກ

ແຈ້ງເຕືອນ ກຸ່ມແຮັກເກີ Silence ເນັ້ນເປົ້າໝາຍໂຈມຕີສະຖາບັນທາງການເງີນທົ່ວໂລກ
ໃນເດືອນ​ ກັນຍາ 2018 ນັກວິໄຈ​ຈາກ Group-IB ອອກ​ລາຍ​ງານ​ຊື່ Silence: Moving into the dark side ເປີດ​ເຜີຍ​ກຸ່ມ​​​ແຮັກ​ເກີກຸ່ມ​ໃໝ່​ຊື່ Silence ເຊື່ອມ​ໂຍງ​ກັບ​ການ​ລັກ​ເງິນຈາກ​ທະ​ນາ​ຄານ​ໃນ​ຣັດ​ເຊຍ, ທ​ະນາ​ຄານ​ໃນ​​ຢູໂຣບ​ຕະເວັນ​ອອກ ແລະ​ ສ​ະຖາ​ບັນ​ທາງ​ການເງິນ ຊຶ່ງ Group-IB ໃຫ້​ຄວາມ​ສົນ​ໃຈ​ກຸ່ມ Silence ເພາະ​ເປັນກຸ່ມ​ທີ່​ແຕກ​ຕ່າງ​ຈາກ APT ທີ່ເນັ້ນເປົ້າໝາຍໂຈມຕີສະ​ຖາ​ບັນ​ທາງ​ການ​​ເງິນທົ່ວ​ໄປ ເນື່ອງ​ຈາກ​ມີ​ຂະໜາດ​ນ້ອຍ​ແຕ່​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ພັດທະນາ​ເຕັກ​ນິກ ​ແລະ ​ເຄື່ອງ​ມື ບໍ່​ວ່າ​ຈະ​ເປັນ​ການ​ພັດທະນາ​ເຄື່ອງ​ມືໃໝ່ດ້ວຍຕົວ​ເອງ, ແກ້​ໄຂ​ຈາກ​ຂໍ້​ຜິດ​ພາດ ຫຼື ຮຽນ​ແບບ​ຈາກ​ກຸ່ມ​​ອື່ນ​ໆ.

ຕໍ່​ມາ​ໃນ​ເດືອນ​ ສິງ​ຫາ​ 2019, Group-IB ໄດ້​ອອກ​ລາຍ​ງານ​ອັບ​ເດດ Silence 2.0: Going Global ການ​ເຮັດ​ວຽກຂອງ​​ກຸ່ມ Silence ໄດ້​ຂະຫຍາຍ​ການ​ໂຈມ​ຕີ​ໄປທົ່ວ​ໂລກ ໂດຍ​ຈາກເດືອນ​ກັນຍາ 2018 ທີ່​ອອກ​ລາຍ​ງານເທື່ອທຳອິດ​ມາ​ຈົນ​ເຖິງ​ການ​ອອກ​ລາຍ​ງານ​ເທື່ອ​ທີ 2 ນີ້ Group-IB ຄາດ​ການວ່າ ​​​ກຸ່ມ Silence ໄດ້​ສ້າງ​ຄວາມ​ເສຍ​ຫາຍ​ກວ່າ 4.2 ລ້ານ​ ໂດລາສະຫະລັດ ແລ້ວ.

Tactics, Techniques and Procedures (TTP) ຂອງ​​​ກຸ່ມ Silence ປະກອບ​ດ້ວຍ

ຂັ້ນທີ 0. Contact database check ການ​ສົ່ງ​ອີ​ເມວ​ປອມ​ໄປຫາເປົ້າ​ໝາຍ​ເພື່ອ​​ກວດສອບວ່າ​ອີ​ເມວ​ນັ້ນ​ໆ ຮັບ​ອີ​ເມວ​ໄດ້​ ຫຼື ​ບໍ່ 
MITREPRE-ATT&CK 
T1361 Test signature detection for file upload/email filters

ຂັ້ນທີ 1. Mail-out to valid address ສົ່ງ​ອີ​ເມວ​ໂຈມ​ຕີ​ໄປ​ສະເພາະ​ອີ​ເມວ​ທີ່​ຖືກ​ຕ້ອງ ໂດຍ​ພາຍ​ໃນ​ມີ​ໄຟ​ລ​​ແນບ​ທີ່​ເປັນ​ອັນຕະລາຍ 
MITRE ATT&CK
T1193 Spearphishing Attachment ສົ່ງ​ອີ​ເມວ​ທີ່​ມີ​ໄຟ​ລ​​ແນບ​ອັນຕະລາຍ
T1204 User Execution ໃຊ້​ປະໂຫຍດ​ຈາກ​ User ເປີດ​ເບິ່ງ​ໄຟ​ລ​​ແນບ​ອັນຕະລາຍ
T1223 Compiled HTML files (.chm) ໃຊ້​ໄຟ​ລ​ .CHM ເປັນ​ໜຶ່ງ​ໃນ​ໄຟ​ລ​​ແນບ​ອັນຕະລາຍ
T1064 Scripting ໃຊ້ VB script

ຂັ້ນທີ 2. Infection of the victim's computer ເມື່ອເຫຍື່ອ​ຫຼົງ​ເປີດ​ໄຟ​ລ​​ແນບ​ ແລະ ​ຕິດ​ເຊື້ອ Silence.Downloader ຈະ​ຖືກ​ຕິດ​ຕັ້ງ​ໃນ​ເຄື່ອງເຫຍື່ອ
MITRE ATT&CK
T1086 PowerShell Ivoke ຂຽນ​ດ້ວຍ PowerShell
T1059 Command-Line Interface ມີ​ການ​ໃຊ້ Windows command-line

ຂັ້ນທີ 3. Persistence in the system ຍຶດເຄື່ອງ​ຖາວອນ​ດ້ວຍ Silence.Main, Silence.ProxyBot ແລະ Silence.ProxyBot.NET
MITRE ATT&CK
T1060 Registry Run Keys / Startup Folder ການ​ເພີ່ມ​ຕົວ​ເອງ​ໃນ Registry ເພື່ອ​ໃຫ້​ຍັງສາມາດຢູ່ໄດ້​ເຖິງແມ່ນວ່າຈະ​ປິດ​ເຄື່ອງ
T1410 Network Traffic Capture or Redirection ການ​ເກັບ​ຂໍ້​ມູນ​ ແລະ​ ສົ່ງ​ໄປ​ຫາ C&C

ຂັ້ນທີ 4. Lateral movement ກະ​ໂດດ​ໄປຫາເຄື່ອງ​ອື່ນ​ໆດ້ວຍ EmpireDNSAgent, winexe, sdelete ແລະ Farse
MITRE ATT&CK
T1027 Obfuscated Files or Information ເຂົ້າ​ລະ​ຫັດ​ຂໍ້​ມູນ​ຜ່ານ EmpireDNSAgent
T1428 Exploit Enterprise Resources ກະ​ໂດດ​ໄປຫາເຄື່ອງ​ອື່ນ​ໆຜ່ານ SMB
T1035 Service Execution ໃຊ້ Winexe 
T1107 File Deletion ​ລຶບຮ່ອງ​ຮອຍ​ດ້ວຍ sdelete

ຂັ້ນທີ 5. Attack execution ລັກ​ເງິນຈາກ​ຕູ້ ATM ໂດຍ​ສັ່ງ​ການ​ຈາກ Atmosphere Trojan ແລະ xfs-disp.exe

 

ເອກະສານອ້າງອີງ: 

  1. https://www.i-secure.co.th/2019/08/silence2/
  2. https://www.group-ib.com/resources/threat-research/silence-attacks.html
  3. https://attack.mitre.org/groups/G0091/

ລາຍການຮູບ

Porher 02 September 2019 3,558 Print