注册
登录
| 关键词: 攻击者 TrueBot Silence 黑客 窃取 感染 他们 研究人员 思科 勒索 |
安全研究人员注意到,感染 TrueBot 恶意软件下载程序的设备激增,该下载程序由一个名为 Silence 的俄语黑客组织创建。Silence 组织以其针对金融机构的大规模抢劫而闻名。 攻击者还使用了一种名为 Teleport 的新自定义数据渗漏工具。对过去几个月 Silence 攻击的分析表明,该团伙提供了通常由与 FIN11 组织相关的 TA505 黑客部署的 Clop 勒索软件。 Silence 黑客已将他们的恶意软件植入全球 1,500 多个系统,以获取 shellcode、Cobalt Strike 信标、Grace 恶意软件、Teleport 渗漏工具和 Clop 勒索软件。 思科 Talos 的研究人员分析了这些新活动,他们观察到自 2022 年 8 月以来使用了多种新的攻击媒介。 在 8 月和 9 月之间的少量攻击中,黑客在利用 Netwrix Auditor 服务器中的一个严重漏洞CVE-2022-31199后,用 Truebot (Silence.Downloader) 感染了系统。 2022 年 10 月,该团伙转而使用 USB 驱动器感染带有 Raspberry Robin 蠕虫的计算机,该蠕虫经常传递 IcedID、Bumblebee 和 Truebot 有效负载。 微软 10 月份的一份报告将该蠕虫与他们追踪为 DEV-0950 的攻击者分发的 Clop 勒索软件联系起来,该攻击者的恶意活动与 FIN11 和 TA505(因在勒索攻击中使用 Clop 而闻名)的行为重叠。 Cisco Talos 指出,Truebot 团伙使用 Raspberry Robin 感染了 1,000 多台主机,其中许多是无法通过公共网络访问的桌面,主要分布在墨西哥、巴西和巴基斯坦。 11 月,黑客将 Windows 服务器作为目标,将 SMB、RDP 和 WinRM 服务暴露在公共互联网上。研究人员统计了 500 多起感染病例,其中约 75% 发生在美国。 Truebot 是第一阶段的模块,可以收集基本信息和截图。它还会泄露 Active Directory 信任关系信息,帮助攻击者继续展开横向渗透。 C2服务器指示 Truebot 在内存中加载 shellcode 或 DLL、执行其他模块、卸载自身或下载 DLL、EXE、BAT 和 PS1 文件。  Truebot功能图 (思科Talos) 入侵成功后,黑客使用 Truebot 投放 Cobalt Strike 信标或 Grace 恶意软件(FlawedGrace、GraceWire),这已归因于 TA505 网络犯罪集团。 之后,入侵者会部署Teleport,思科将其描述为一种用 C++ 构建的新型定制工具,可帮助黑客秘密窃取数据。 Teleport 和 C2 服务器之间的通信是加密的。攻击者可限制上传速度,按大小过滤文件以窃取更多文件,或删除有效负载。所有这一切都是为了在受害者机器上保持低调。  传送工具模式 (Cisco Talos) Teleport 还具有从 OneDrive 文件夹中窃取文件、收集受害者的 Outlook 电子邮件或针对特定文件扩展名的选项。 在某些情况下,攻击者在 Cobalt Strike 的帮助下横向移动,最后部署Clop 勒索软件。  导致 Clop 部署的感染后活动 (Cisco Talos) 自 2016 年以来,网络安全公司Group-IB 的研究人员一直在跟踪 Silence/Truebot活动,当时黑客偷偷侵入了一家银行,但由于支付订单问题未能窃取资金。 攻击者再次击中同一目标,并开始通过截取受感染系统的屏幕截图和流式视频来监控银行运营商的活动,以了解汇款程序的工作原理。 据 Group-IB 所知,他们在 2017 年首次成功抢劫,攻击 ATM 系统并在一个晚上窃取超过 10万美元。 Silence 继续发动攻击,在 2016 年至 2019 年的三年时间里,他们从前苏联、欧洲、拉丁美洲和亚洲的银行至少窃取了 420 万美元,  Silence/Truebot 活动时间线,来源:Group-IB Group-IB 研究人员将 Silence 黑客描述为高技能,能够对恶意软件进行逆向工程并根据他们的目的进行修改,或者在汇编指令级别修改Fancy Bear使用的漏洞。他们还能够开发自己的工具。 最初攻击者只针对俄罗斯企业,但 Silence 在过去几年中将其影响范围扩大到全球范围。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
