ແຈ້ງເຕືອນ ກຸ່ມແຮັກເກີ Silence ເນັ້ນເປົ້າໝາຍໂຈມຕີສະຖາບັນທາງການເງີນທົ່ວໂລກ
ຕໍ່ມາໃນເດືອນ ສິງຫາ 2019, Group-IB ໄດ້ອອກລາຍງານອັບເດດ Silence 2.0: Going Global ການເຮັດວຽກຂອງກຸ່ມ Silence ໄດ້ຂະຫຍາຍການໂຈມຕີໄປທົ່ວໂລກ ໂດຍຈາກເດືອນກັນຍາ 2018 ທີ່ອອກລາຍງານເທື່ອທຳອິດມາຈົນເຖິງການອອກລາຍງານເທື່ອທີ 2 ນີ້ Group-IB ຄາດການວ່າ ກຸ່ມ Silence ໄດ້ສ້າງຄວາມເສຍຫາຍກວ່າ 4.2 ລ້ານ ໂດລາສະຫະລັດ ແລ້ວ.
Tactics, Techniques and Procedures (TTP) ຂອງກຸ່ມ Silence ປະກອບດ້ວຍ
ຂັ້ນທີ 0. Contact database check ການສົ່ງອີເມວປອມໄປຫາເປົ້າໝາຍເພື່ອກວດສອບວ່າອີເມວນັ້ນໆ ຮັບອີເມວໄດ້ ຫຼື ບໍ່
MITREPRE-ATT&CK
T1361 Test signature detection for file upload/email filters
ຂັ້ນທີ 1. Mail-out to valid address ສົ່ງອີເມວໂຈມຕີໄປສະເພາະອີເມວທີ່ຖືກຕ້ອງ ໂດຍພາຍໃນມີໄຟລແນບທີ່ເປັນອັນຕະລາຍ
MITRE ATT&CK
T1193 Spearphishing Attachment ສົ່ງອີເມວທີ່ມີໄຟລແນບອັນຕະລາຍ
T1204 User Execution ໃຊ້ປະໂຫຍດຈາກ User ເປີດເບິ່ງໄຟລແນບອັນຕະລາຍ
T1223 Compiled HTML files (.chm) ໃຊ້ໄຟລ .CHM ເປັນໜຶ່ງໃນໄຟລແນບອັນຕະລາຍ
T1064 Scripting ໃຊ້ VB script
ຂັ້ນທີ 2. Infection of the victim's computer ເມື່ອເຫຍື່ອຫຼົງເປີດໄຟລແນບ ແລະ ຕິດເຊື້ອ Silence.Downloader ຈະຖືກຕິດຕັ້ງໃນເຄື່ອງເຫຍື່ອ
MITRE ATT&CK
T1086 PowerShell Ivoke ຂຽນດ້ວຍ PowerShell
T1059 Command-Line Interface ມີການໃຊ້ Windows command-line
ຂັ້ນທີ 3. Persistence in the system ຍຶດເຄື່ອງຖາວອນດ້ວຍ Silence.Main, Silence.ProxyBot ແລະ Silence.ProxyBot.NET
MITRE ATT&CK
T1060 Registry Run Keys / Startup Folder ການເພີ່ມຕົວເອງໃນ Registry ເພື່ອໃຫ້ຍັງສາມາດຢູ່ໄດ້ເຖິງແມ່ນວ່າຈະປິດເຄື່ອງ
T1410 Network Traffic Capture or Redirection ການເກັບຂໍ້ມູນ ແລະ ສົ່ງໄປຫາ C&C
ຂັ້ນທີ 4. Lateral movement ກະໂດດໄປຫາເຄື່ອງອື່ນໆດ້ວຍ EmpireDNSAgent, winexe, sdelete ແລະ Farse
MITRE ATT&CK
T1027 Obfuscated Files or Information ເຂົ້າລະຫັດຂໍ້ມູນຜ່ານ EmpireDNSAgent
T1428 Exploit Enterprise Resources ກະໂດດໄປຫາເຄື່ອງອື່ນໆຜ່ານ SMB
T1035 Service Execution ໃຊ້ Winexe
T1107 File Deletion ລຶບຮ່ອງຮອຍດ້ວຍ sdelete
ຂັ້ນທີ 5. Attack execution ລັກເງິນຈາກຕູ້ ATM ໂດຍສັ່ງການຈາກ Atmosphere Trojan ແລະ xfs-disp.exe
ເອກະສານອ້າງອີງ:
ລາຍການຮູບ
