APT
Nasi eksperci wykryli nowy atak ukierunkowany wykorzystujący trojana o nazwie Silence, wymierzony w instytucje finansowe. Na pierwszej linii ognia znajdują się rosyjskie banki, choć zainfekowane zostały również organizacje w Malezji i Armenii.
Pod względem stosowanej taktyki atak przypomina znaną kampanię finansową APT, Carbanak: do pracowników banków i organizacji finansowych zostaje wysłana phishingowa wiadomość e-mail zawierająca szkodliwy załącznik. W efekcie są oni szpiegowani, a na końcu dokonywana jest oszukańcza transakcja. Dzięki tej sprawdzonej metodzie działania oszuści zarobili już miliardy dolarów, dlaczego więc nie mieliby wypróbować jej po raz kolejny?
Jednak tym razem atakujący przygotowali wiadomość e-mail bardzo starannie. Po zainfekowaniu i dokonaniu wstępnej analizy infrastruktury organizacji atakujący wysyłali poprzez wiadomości elektroniczne „umowy” do partnerów banku. Nowa ofiara otrzymywała wiadomość phishingową pochodzącą z adresu prawdziwej osoby, która pracuje w danym banku. W ten sposób znacznie wzrastało prawdopodobieństwo, że szkodliwy załącznik zostanie kliknięty.
Jak działa Silence?
Ofiara — pracownik z obszaru finansów — otwiera załączoną „umowę” będącą plikiem z rozszerzeniem .chm, czyli plikiem pomocy firmy Microsoft. Osadzony plik HTML zawiera kod szkodliwego skryptu napisanego w języku JavaScript, który ładuje i aktywuje droppera. Ten z kolei ładuje moduły trojana Silence działającego pod postacią usług systemu Windows. Wykryliśmy, że moduły te dotyczyły sterowania i monitorowania, rejestrowania działań widocznych na ekranie, a także komunikacji z serwerami kontroli. Wśród nich znajdował się również program służący do zdalnego wykonywania poleceń konsoli.
Moduły te umożliwiały atakującym gromadzenie danych na temat zainfekowanej sieci oraz rejestrowanie obrazów z ekranów pracowników. Najpierw monitorowana była każda osoba, lecz później atakujący skupili się na tych, którzy posiadali najwięcej przydatnych informacji finansowych. Gdy intruzi mieli pełny obraz tego, jak działa przepływ informacji w danej organizacji, wydawali polecenie przelania środków finansowych na ich własne konta.
Szczegóły techniczne oraz informacje na temat wskaźników pozwalających zidentyfikować włamanie znajdują się w naszym poście opublikowanym na stronie SecureList.
Jak ochronić firmę przed atakiem Silence?
Jak widać, przypominanie pracownikom, aby nie otwierali załączników z wiadomości e-mail pochodzących z zewnątrz firmy, nie jest wystarczającym działaniem prewencyjnym. Aby zabezpieczyć instytucje finansowe przed nowoczesnymi zagrożeniami, zalecamy:
- Przeprowadzanie sesji treningowych i warsztatów zwiększających świadomość personelu. Jako przykład można tu podać Kaspersky Security Awareness: nie jest to seria wykładów na temat zagrożenia, lecz ćwiczenia praktyczne obejmujące symulację ataku, które pomagają zwiększyć umiejętności praktyczne pracowników.
- Korzystanie z rozwiązań, które potrafią wykrywać anomalie w sieci na głębokim poziomie, takie jak Kaspersky Anti Targeted Attack. Ten produkt zabezpieczający potrafi wykrywać ataki ukierunkowane nawet wtedy, gdy wykorzystują one jeszcze nieznane metody.
Porady