Silence APT , kelompok cybercriminal atau grup hacking Rusia, yang dikenal karena menargetkan organisasi keuangan terutama di negara-negara Soviet dan negara-negara tetangga. Kini secara agresif menargetkan bank di lebih dari 30 negara di seluruh Amerika, Eropa, Afrika, dan Asia.

Aktif sejak September 2016, kampanye sukses APT Silence yang terbaru adalah melawan Dutch-Bangla Bank yang berbasis di Bangladesh, yang kehilangan lebih dari $ 3 juta selama serangkaian penarikan tunai ATM selama beberapa hari.

Dilansir dari The Hacker News (21/8) Sebuah laporan baru dari perusahaan cybersecurity yang bermarkas di Singapura, Group-IB menyebutkan kelompok peretasan telah secara signifikan memperluas geografi mereka dalam beberapa bulan terakhir. Serta meningkatkan frekuensi kampanye serangan mereka, serta meningkatkan arsenalnya.

Laporan itu juga menggambarkan evolusi grup hacking rusia bernama Silence dari “peretas muda dan bermotivasi tinggi” menjadi salah satu kelompok Advanced Persistent Threat (APT) paling canggih yang kini menjadi ancaman bagi bank-bank di seluruh dunia.

Grup peretasan APT Silence telah memperbarui TTP (taktik, teknik, dan prosedur) mereka yang unik dan mengubah encryption alphabets, string encryption dan command untuk bot dan modul utama untuk menghindari deteksi oleh alat keamanan.

“Selain itu, aktor telah sepenuhnya menulis ulang TrueBot loader, modul tahap pertama, yang menjadi dasar keberhasilan seluruh serangan grup. Para peretas juga mulai menggunakan Ivoke, loader fileless, dan EDA agent, keduanya ditulis dalam PowerShell,” kata para peneliti.

EDA adalah PowerShell agent, yang dirancang untuk mengontrol sistem yang dengan melakukan tugas-tugas melalui shell command dan lalu lintas tunneling menggunakan protokol DNS, dan didasarkan pada proyek Empire dan dnscat2.

kelompok peretasan

Seperti kebanyakan grup peretasan, geng Silence juga mengandalkan email spear-phishing dengan makro Documents atau exploit, file CHM, dan pintasan .LNK sebagai lampiran jahat untuk awalnya mengkompromikan korban mereka.

Setelah berada di organisasi korban, kelompok ini memanfaatkan TTP yang lebih canggih dan menyebarkan malware tambahan, baik TrueBot atau pemuat PowerShell tanpa filew baru bernama Ivoke, keduanya dirancang untuk mengumpulkan informasi tentang sistem yang terinfeksi dan mengirimkannya ke server CnC perantara.

Baca juga : Dragonfly 2.0, Grup Hacker Terkenal Yang Meretas Fasilitas Tenaga Listrik Eropa dan AS

Untuk memilih target mereka, grup pertama-tama membuat “daftar target” terkini dari alamat email aktif dengan mengirim “email pengintaian,” yang biasanya berisi gambar atau tautan tanpa muatan berbahaya.

“Kampanye ini tidak lagi terfokus hanya pada Rusia dan negara-negara Soviet tetapi menyebar ke seluruh Asia dan Eropa. Sejak laporan publik terakhir kami, Silence telah mengirimkan lebih dari 170.000 email pengintaian ke bank-bank di Rusia, Uni Soviet, Asia, dan Eropa , “tulis laporan itu.

“Pada November 2018, Silence mencoba membidik pasar Asia untuk pertama kalinya dalam sejarah mereka. Secara total, Silence mengirimkan sekitar 80.000 email, dengan lebih dari setengahnya menargetkan Taiwan, Malaysia, dan Korea Selatan.”

Menampilkan kampanye terbaru grup hacking Rusia, APT Silence — dari Mei 2018 hingga 1 Agustus 2019 – para peneliti menggambarkan peningkatan kerusakan dari operasi mereka dan mengkonfirmasi bahwa jumlah dana yang dicuri oleh Silence telah meningkat lima kali lipat sejak tahap awal, memperkirakan total kerugian $ 4,2 juta.

Selain itu, para peneliti Grup-IB juga mencurigai bahwa TrueBot (alias Silence.Downloader) dan FlawedAmmyy loader telah dikembangkan oleh orang yang sama karena kedua malware ditandatangani dengan sertifikat digital yang sama.

email phishing
Sumber : The Hacker News

FlawedAmmyy loader adalah remote access Trojan (RAT) yang terkait dengan TA505, kelompok ancaman berbahasa Rusia yang terpisah yang bertanggung jawab atas banyak serangan skala besar yang melibatkan serangan email yang sangat tertarget serta kampanye pesan besar-besaran, berjuta-juta sejak setidaknya 2014.

“Ancaman yang berkembang yang ditimbulkan oleh Silence dan ekspansi globalnya yang cepat mendorong kami untuk membuat kedua laporan tersebut tersedia untuk umum guna membantu spesialis keamanan cyber mendeteksi dan secara tepat menghubungkan serangan Silence di seluruh dunia pada tahap awal,” kata para peneliti.

Peneliti Grup-IB tidak membagikan nama bank yang ditargetkan oleh Silence APT tetapi mengatakan bahwa kelompok tersebut berhasil menargetkan bank di India (pada Agustus 2018), Rusia (pada Februari 2019, “IT Bank” Rusia), Kirgistan (pada Mei 2019 ), Rusia (pada Juni 2019), dan Chili, Ghana, Kosta Rika, dan Bulgaria (pada Juli 2019).

Group-IB telah menerbitkan temuan yang lebih terperinci tentang Silence APT dalam laporan barunya yang berjudul, ” Silence 2.0: Going Global .” Anda dapat membuka laporannya untuk informasi lebih lanjut.


Like it? Share with your friends!

Abdul Latif

Comments

error: Content is protected !!