Эксперты выявили новую целевую атаку с применением троянца Silence, направленную на финансовые учреждения.
Тактически эта атака очень похожа на «эталонную банковскую APT-кампанию» — нашумевший Carbanak: рассылка фишинговых писем по организациям, вредонос во вложении, а дальше — слежка за сотрудниками и внезапная мошенническая транзакция. Метод проверенный, он уже добыл злоумышленникам миллиарды долларов, так почему бы не применить его снова? Впрочем, на этот раз авторы атаки усовершенствовали нестареющую уловку с письмом.
Заразив инфраструктуру одной организации и прочно в ней обосновавшись, злоумышленники начинают рассылать «договора» партнерам. То есть следующим жертвам фишинговое письмо приходит с адреса реально существующего сотрудника и подписано им. Это значительно повышает вероятность того, что на вредоносное вложение кликнут.
Как работает троян Silence
Когда сотрудник финансовой организации пытается открыть приложенный договор (а это файл с расширением .chm, файл справки Microsoft), запускается вложенный в него html-файл, содержащий вредоносный javascript. Скрипт загружает и активирует дроппер, а тот уже подгружает модули троянца Silence, работающие как службы Windows: модуль управления и контроля, модуль записи активности экрана, модуль связи с управляющими серверами и программу для удаленного выполнения консольных команд.
Таким образом злоумышленники начинают собирать данные о зараженной сети и записывают изображения с экранов сотрудников. Сначала мониторят всех поголовно, но потом фокусируются на тех, кто может обладать нужной информацией. Когда авторы атаки досконально понимают, как работают информационные системы жертвы, они отдают приказ на перевод финансов на свои счета. Узнать технические подробности об этой атаке и найти индикаторы компрометации можно в блогпосте на сайте Securelist.
Как защититься от атаки Silence
Как показывает практика, регулярно напоминать сотрудникам «не открывайте вложения из внешних писем» недостаточно. Для того чтобы обезопасить финансовое учреждение от современных киберугроз мы рекомендуем следующее.
Проводить тренинги по повышению осведомленности сотрудников. Это не лекции об угрозах — это практические занятия с имитацией атак, позволяющие сформировать у сотрудников полезные навыки.
Использовать решения, способные обнаруживать аномалии в сети на глубоком уровне. Защитные решения способны выявлять целевые атаки, даже если они проводятся с использованием еще не известных методов.