02/11/2017

Trojan „Silence” rozrasta się jak rak

Biznes MŚP

Nasi eksperci wykryli nowy atak ukierunkowany wykorzystujący trojana o nazwie Silence, wymierzony w instytucje finansowe. Na pierwszej linii ognia znajdują się rosyjskie banki, choć zainfekowane zostały również organizacje w Malezji i Armenii.

Pod względem stosowanej taktyki atak przypomina znaną kampanię finansową APT, Carbanak: do pracowników banków i organizacji finansowych zostaje wysłana phishingowa wiadomość e-mail zawierająca szkodliwy załącznik. W efekcie są oni szpiegowani, a na końcu dokonywana jest oszukańcza transakcja. Dzięki tej sprawdzonej metodzie działania oszuści zarobili już miliardy dolarów, dlaczego więc nie mieliby wypróbować jej po raz kolejny?

Jednak tym razem atakujący przygotowali wiadomość e-mail bardzo starannie. Po zainfekowaniu i dokonaniu wstępnej analizy infrastruktury organizacji atakujący wysyłali poprzez wiadomości elektroniczne „umowy” do partnerów banku. Nowa ofiara otrzymywała wiadomość phishingową pochodzącą z adresu prawdziwej osoby, która pracuje w danym banku. W ten sposób znacznie wzrastało prawdopodobieństwo, że szkodliwy załącznik zostanie kliknięty.

Jak działa Silence?

Ofiara — pracownik z obszaru finansów — otwiera załączoną „umowę” będącą plikiem z rozszerzeniem .chm, czyli plikiem pomocy firmy Microsoft. Osadzony plik HTML zawiera kod szkodliwego skryptu napisanego w języku JavaScript, który ładuje i aktywuje droppera. Ten z kolei ładuje moduły trojana Silence działającego pod postacią usług systemu Windows. Wykryliśmy, że moduły te dotyczyły sterowania i monitorowania, rejestrowania działań widocznych na ekranie, a także komunikacji z serwerami kontroli. Wśród nich znajdował się również program służący do zdalnego wykonywania poleceń konsoli.

Moduły te umożliwiały atakującym gromadzenie danych na temat zainfekowanej sieci oraz rejestrowanie obrazów z ekranów pracowników. Najpierw monitorowana była każda osoba, lecz później atakujący skupili się na tych, którzy posiadali najwięcej przydatnych informacji finansowych. Gdy intruzi mieli pełny obraz tego, jak działa przepływ informacji w danej organizacji, wydawali polecenie przelania środków finansowych na ich własne konta.

Szczegóły techniczne oraz informacje na temat wskaźników pozwalających zidentyfikować włamanie znajdują się w naszym poście opublikowanym na stronie SecureList.

Jak ochronić firmę przed atakiem Silence?

Jak widać, przypominanie pracownikom, aby nie otwierali załączników z wiadomości e-mail pochodzących z zewnątrz firmy, nie jest wystarczającym działaniem prewencyjnym. Aby zabezpieczyć instytucje finansowe przed nowoczesnymi zagrożeniami, zalecamy:

  1. Przeprowadzanie sesji treningowych i warsztatów zwiększających świadomość personelu. Jako przykład można tu podać Kaspersky Security Awareness: nie jest to seria wykładów na temat zagrożenia, lecz ćwiczenia praktyczne obejmujące symulację ataku, które pomagają zwiększyć umiejętności praktyczne pracowników.
  2. Korzystanie z rozwiązań, które potrafią wykrywać anomalie w sieci na głębokim poziomie, takie jak Kaspersky Anti Targeted Attack. Ten produkt zabezpieczający potrafi wykrywać ataki ukierunkowane nawet wtedy, gdy wykorzystują one jeszcze nieznane metody.