据孟加拉当地媒体报道,荷兰孟加拉银行(Dutch-Bangla Bank Limited)ATM遭到黑客攻击,导致300万美元被盗。这起网络攻击从数月前开始,最后阶段于5月31日发生在孟加拉首都达卡。7月3日,专注于防范网络攻击的国际公司Group-IB已证实,幕后黑手很可能是俄罗斯网络犯罪集团Silence APT,且银行实际失窃金额要比媒体报道的要高得多。这是Silence最近发动的国际攻击之一,表明该团伙已扩大了攻击面积,并走向全球,目前的重点是亚太地区。
在当地媒体发布的闭路电视画面中,可以看到两个蒙面人在荷兰孟加拉银行的ATM上取钱。但他们每次取钱之前都要打电话,这立即引起了Group-IB的威胁情报团队的关注,并猜测他们很可能与金融网络犯罪集团有关。此外,Group-IB的威胁情报团队还意识到,Silence已经在亚洲展开了行动。
自2016年以来,Group-IB一直在跟踪Silence,并于2018年9月发布了一份报告《Silence:进入黑暗面》(Silence: Moving into thedarkside),这是第一个详细描述该组织技术和工具的报告。
Group-IB的威胁情报团队收集的信息表明,自2019年2月以来,荷兰孟加拉银行的外部IP103.11.138.47和103.11.138.198与Silence的C&C(185.20.187.89)进行了通信。网络犯罪分子使用了特洛伊木马Silence.Downloader、Silence.MainModule和Silence.ProxyBot 。其中Silence.MainModule (MD5fd133e977471a76de8a22ccb0d9815b2)允许隐蔽地执行远程命令并从受感染服务器下载文件,Silence.ProxyBot(MD52fe01a04d6beef14555b2cf9a717615c)用于执行代理服务器的任务,并允许攻击者通过受感染的PC将流量从隐藏节点重定向到反向连接服务器。
一旦进入银行系统,Silence就会进入下一阶段的攻击——取款。Silence通过破坏银行的卡处理系统,或者使用自定义的Atmosphere软件(用于ATM 头奖(Jackpotting)攻击的工具)来盗取资金。
Group-IB恶意代码动态分析负责人RustamMirkasymov分析,Silence正将其目标从独立国家联合体和邻国转移到国际市场,亚洲尤其引起他们的关注。荷兰孟加拉银行不是Silence的首个受害者。Group-IB最近还发现,至少有4个在亚洲的目标受到Silence攻击。
关于Silence Silence是一个活跃的,但非常小的俄罗斯黑客团体。Group-IB于2016年首次检测到该组织的活动。在他们“工作”的过程中,银行管理系统、信用卡处理系统和俄罗斯银行间转账系统遭到了攻击。该团伙的目标主要分布在俄罗斯、乌克兰、白俄罗斯、阿塞拜疆、波兰和哈萨克斯坦,他们也曾向中欧、西欧、非洲和亚洲的银行员工发送了钓鱼邮件。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
