匯流新聞網記者紀沈廷/綜合報導
現在全球的駭客相互攻擊對手國家,好像已經見怪不怪了,近日有安全公司偵測到一個名叫「Silence」的俄羅斯駭客組織,這個組織這幾年對全球超過30個國家的銀行發動攻擊來竊取財產,台灣甚至成為這個組織在亞洲攻擊最頻繁的目標。
俄羅斯資安業者Group-IB這禮拜公布,Silence從2016年6月竄起後,就以俄羅斯為起點並慢慢向外擴散,鎖定全球金融業發動攻擊,現在已經成為金融業最為活躍的駭客組織之一。為了躲避安全產品的偵測,Silence這幾年使用的攻擊武器也有大幅度的進化,包含加密字母表、字串加密工具、殭屍指令與主要攻擊模組。另外,Silence也改寫了用作第一階段的攻擊模組Truebot下載器(loader)成Silence.Downloader、還開始使用以PowerShell寫成的無檔案下載器Ivoke、EDA代理程式,同時很積極的開始發動無檔案攻擊進行。
他們的手法還有發送偵察式電子郵件(reconnaissance email),這種郵件假冒是傳送失敗的系統自動回覆信件,雖沒有攻擊程式,卻能藉此蒐集有效電子郵件信箱,當作未來攻擊的準備。Group-IB研究人員還發現,Silence從去年10月開始,攻擊的範圍漸漸擴大,從前蘇聯國家、歐洲等,然後在11月開始觸及到了亞洲。根據資料顯示,Silence光是在當月就發了17萬封偵察式電子郵件,包含亞洲的8萬封,當中台灣更以2.1萬封位居榜首,其次則是馬來西亞的1.6萬封、南韓的8800封位居第三,光是今年就有超過30個國家金融機 購的工作站,遭到Silence惡意程式感染。
只要經過驗證,確定為有效電子郵件後,駭客就會開始發送載有攻擊程式的惡意郵件,接著再以其工具滲透到銀行內部網路與橫向移動;若金融機構安全防護技術沒有偵測到,最後駭客就能成功控制信用卡處理中心、再以Atmosphere木馬或名為xfs-disp.exe的程式控制提款機在特定時間吐鈔,最後由外部車手取款。
研究人員還發現,這個組織和今年6月一個跨洲感染遠端存取木馬程式FlawedAmmyy有關,當時安全產業以TA505作為背後組織的代稱,Group-IB發現它和Silence撰寫的Silence.Downloader竟然意外相似。在FlawedAmmyy隨網釣郵件向全球各洲金融與零售業蔓延,台灣也在受害範圍中。
參考來源:Naked Security、Dark Reading
照片來源:Pixabay
更多匯流新聞網報導:
德國官員控中國駭客大規模攻擊 背後原因是為2025計畫
程式碼竟有中文字!有毒軟體「Winnti」入侵德國百大企業 攻擊敏感產業
【匯流筆陣】
CNEWS歡迎各界投書,來稿請寄至cnewscom2016@gmail.com,並請附上真實姓名、聯絡方式與職業身份簡介。
CNEWS匯流新聞網:https://cnews.com.tw
【文章轉載請註明出處】
