Хакер #305. Многошаговые SQL-инъекции
Январские рассылки
По информации Group-IB, хакерская группа Silence возобновила рассылку фишинговых писем. Атака направлена на сотрудников российских кредитно-финансовых организаций (в основном это банки и крупные платежные системы), рассылка насчитывала более 80 000 получателей, и это самая крупная атака с начала нового года.
Массовая атака началась с фишинговых рассылок Silence 16 января 2019 года. Впервые в практике Silence вредоносное вложение было замаскировано под приглашение на iFin-2019. Интересно, что XIX Международный Форум iFin-2019 «Электронные финансовые услуги и технологии» действительно пройдет в Москве 19 и 20 февраля, о чем организаторы мероприятия сделали рассылку около 9 утра по Москве 16 января. Через несколько часов свое «приглашение» отправили Silence. Фальшивая рассылка велась от имени «Forum iFin-2019», но с адреса info@bankuco[.]com. Текстовые совпадения указывают на то, что в своем письме злоумышленники использовали официальный анонс-приглашение, но отредактировали его.
К письмам был прикреплен ZIP-архив, внутри которого были приглашение на банковский форум и вредоносное вложение Silence.Downloader (он же TrueBot) — собственный вредоносный инструмент группировки Silence.
Эксперты отмечают, что практика маскировки злоумышленниками вредоносных программ под официальные приглашения широко распространена у прогосударственных хакерских группировок, которые специализируются на шпионаже: они направляют в военные ведомства, посольства, министерства и СМИ «приглашения» на конференции НАТО, ООН или ЕС, внутри которых скрыты вредоносные программы, цель которых шпионить за получателем.
По мнению специалистов Group-IB, использование реального анонс финансового форума еще раз подтверждает версию о том, что участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой, в том числе, пентестами и реверс-инжинирингом в финансовом секторе.
В пользу этой версии говорит и другой факт: в рамках январской кампании специалисты обнаружили еще две фишинговые рассылки, нацеленные на российские банки, якобы от имени начальников отделов межбанковских операций несуществующих банков — ЗАО «Банк ICA» и ЗАО «Банкуралпром». Отправители обращались в банки с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентских счетов их организаций. Во вложении содержался архив с договором, при распаковке которого на компьютер пользователя загружалась все та же вредоносная программа Silence.Downloader.
Предновогодний фишинг
Кроме того, опыт Group-IB показывает, что киберпреступники активно атакуют финансовые организации в период с 25 декабря по 14 января. Накануне новогодних праздников на счетах банков, как правило, аккумулируется большое количество денежных средств; банковские работники уже не столь бдительны, многие из них, не исключая службу безопасности, уходят в отпуск. Этим пользуются злоумышленники.
В период с 25 по 27 декабря Group-IB зафиксировала вредоносные рассылки Silence по финансовым учреждениям. На этот раз применялась новая схема с использованием социальной инженерии. Преступники разослали письма якобы от реально существующей фармацевтической компании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект. Хакеры Silence, представляясь «соучредителем» фармкомпании, детально описывали филиальную структуру, указывали количество сотрудников и «торопили» со сменой партнера по зарплатному проекту. Более того, в письмо якобы был вложен «дизайн-макет», чтоб сделать брендированные банковские карты для персонала.
Подобное готовое предложение от клиента — весьма «аппетитная наживка» для банка. Вероятность того, что банковские сотрудники, получившие подобное предложение, откроют вложение, высока. Однако в результате распаковки архива произойдет загрузка лоадера, а затем и основного модуля Silence на машину жертвы.
«Вредоносная активность декабрьской и январской кампаний была зафиксирована Group-IB Threat Detection System в российских банках и была заблокирована. Об индикаторах атаки, а также способах защиты были оперативно оповещены все клиенты Group-IB. Очевидно, что масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний. Что примечательно, мы фиксируем изменения в работе группы, которые начали появляться спустя некоторое время после выпуска технического отчета Group-IB, описывающего тактику действий хакеров и детали атак. На данный момент Silence — одна из самых опасных русскоязычных групп, фактически стоящая в одном ряду с Cobalt и MoneyTaker», — говорит руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB Рустам Миркасымов.