首页 >> 国际 > 皇冠彩票登陆网址·专攻银行系统的Silence APT开始走向全球,重点为亚太地区

皇冠彩票登陆网址·专攻银行系统的Silence APT开始走向全球,重点为亚太地区

时间:2020-01-11 14:29:47

皇冠彩票登陆网址·专攻银行系统的Silence APT开始走向全球,重点为亚太地区

皇冠彩票登陆网址,更多全球网络安全资讯尽在e安全官网www.easyaq.com

小编来报:group-ib认为,俄罗斯网络犯罪团伙silence apt很可能是攻击荷兰孟加拉银行atm的幕后黑手,此次攻击导致300万美元被盗。

据孟加拉当地媒体报道,荷兰孟加拉银行atm遭到黑客攻击,导致300万美元被盗。这起网络攻击从数月前开始,最后阶段于5月31日发生在孟加拉首都达卡。7月3日,专注于防范网络攻击的国际公司group-ib已证实,幕后黑手很可能是俄罗斯网络犯罪集团silence apt,且银行实际失窃金额要比媒体报道的要高得多。这是silence最近发动的国际攻击之一,表明该团伙已扩大了攻击面积,并走向全球,目前的重点是亚太地区。

在当地媒体发布的闭路电视画面中,可以看到两个蒙面人在荷兰孟加拉银行的atm上取钱。但他们每次取钱之前都要打电话,这立即引起了group-ib的威胁情报团队的关注,并猜测他们很可能与金融网络犯罪集团有关。此外,group-ib的威胁情报团队还意识到,silence已经在亚洲展开了行动。

自2016年以来,group-ib一直在跟踪silence,并于2018年9月发布了一份报告《silence:进入黑暗面》(silence: moving into thedarkside),这是第一个详细描述该组织技术和工具的报告。

group-ib的威胁情报团队收集的信息表明,自2019年2月以来,荷兰孟加拉银行的外部ip103.11.138.47和103.11.138.198与silence的c&c(185.20.187.89)进行了通信。网络犯罪分子使用了特洛伊木马silence.downloader、silence.mainmodule和silence.proxybot 。其中silence.mainmodule (md5fd133e977471a76de8a22ccb0d9815b2)允许隐蔽地执行远程命令并从受感染服务器下载文件,silence.proxybot(md52fe01a04d6beef14555b2cf9a717615c)用于执行代理服务器的任务,并允许攻击者通过受感染的pc将流量从隐藏节点重定向到反向连接服务器。

一旦进入银行系统,silence就会进入下一阶段的攻击——取款。silence通过破坏银行的卡处理系统,或者使用自定义的atmosphere软件(用于atm 头奖(jackpotting)攻击的工具)来盗取资金。

group-ib恶意代码动态分析负责人rustammirkasymov分析,silence正将其目标从独立国家联合体和邻国转移到国际市场,亚洲尤其引起他们的关注。荷兰孟加拉银行不是silence的首个受害者。group-ib最近还发现,至少有4个在亚洲的目标受到silence攻击。

关于silence

silence是一个活跃的,但非常小的俄罗斯黑客团体。group-ib于2016年首次检测到该组织的活动。在他们“工作”的过程中,银行管理系统、信用卡处理系统和俄罗斯银行间转账系统遭到了攻击。该团伙的目标主要分布在俄罗斯、乌克兰、白俄罗斯、阿塞拜疆、波兰和哈萨克斯坦,他们也曾向中欧、西欧、非洲和亚洲的银行员工发送了钓鱼邮件。

注:本文由e安全编译报道,转载请注明原文地址

https://www.easyaq.com

喜欢记得打赏小e哦!