ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ

 

 

          ໃນເດືອນ​ ກັນຍາ 2018 ນັກວິໄຈ​ຈາກ Group-IB ອອກ​ລາຍ​ງານ​ຊື່ Silence: Moving into the dark side ເປີດ​ເຜີຍ​ກຸ່ມ​​​ແຮັກ​ເກີກຸ່ມ​ໃໝ່​ຊື່ Silence ເຊື່ອມ​ໂຍງ​ກັບ​ການ​ລັກເງິນຈາກ​ທະ​ນາ​ຄານ​ໃນ​ຣັດ​ເຊຍ, ທ​ະນາ​ຄານ​ໃນ​​ຢູໂຣບ​ຕະເວັນ​ອອກ ແລະ​ ສ​ະຖາ​ບັນ​ທາງ​ການເງິນ ຊຶ່ງ Group-IB ໃຫ້​ຄວາມ​ສົນ​ໃຈ​ກຸ່ມ Silence ເພາະ​ເປັນກຸ່ມ​ທີ່​ແຕກ​ຕ່າງ​ຈາກ APT ທີ່ເນັ້ນເປົ້າໝາຍໂຈມຕີສະ​ຖາ​ບັນ​ທາງ​ການ​​ເງິນທົ່ວ​ໄປ ເນື່ອງ​ຈາກ​ມີ​ຂະໜາດ​ນ້ອຍ​ແຕ່​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ພັດທະນາ​ເຕັກ​ນິກ ​ແລະ ​ເຄື່ອງ​ມື ບໍ່​ວ່າ​ຈະ​ເປັນ​ການ​ພັດທະນາ​ເຄື່ອງ​ມືໃໝ່ດ້ວຍຕົວ​ເອງ, ແກ້​ໄຂ​ຈາກ​ຂໍ້​ຜິດ​ພາດ ຫຼື ຮຽນ​ແບບ​ຈາກ​ກຸ່ມ​​ອື່ນ​ໆ.

          ຕໍ່​ມາ​ໃນ​ເດືອນ​ ສິງ​ຫາ​ 2019, Group-IB ໄດ້​ອອກ​ລາຍ​ງານ​ອັບ​ເດດ Silence 2.0: Going Global ການ​ເຮັດ​ວຽກຂອງ​​ກຸ່ມ Silence ໄດ້​ຂະຫຍາຍ​ການ​ໂຈມ​ຕີ​ໄປທົ່ວ​ໂລກ ໂດຍ​ຈາກເດືອນ​ກັນຍາ 2018 ທີ່​ອອກ​ລາຍ​ງານເທື່ອທຳອິດ​ມາ​ຈົນ​ເຖິງ​ການ​ອອກ​ລາຍ​ງານ​ເທື່ອທີ 2 ນີ້ Group-IB ຄາດ​ການວ່າ ​​​ກຸ່ມ Silence ໄດ້​ສ້າງ​ຄວາມ​ເສຍ​ຫາຍ​ກວ່າ 4.2 ລ້ານ​ ໂດລາສະຫະລັດ ແລ້ວ.

News Images: hacker_silence.png

Tactics, Techniques and Procedures (TTP) ຂອງ​​​ກຸ່ມ Silence ປະກອບ​ດ້ວຍ
ຂັ້ນທີ 0. Contact database check ການ​ສົ່ງ​ອີ​ເມວ​ປອມ​ໄປຫາເປົ້າ​ໝາຍ​ເພື່ອ​​ກວດສອບວ່າ​ອີ​ເມວ​ນັ້ນ​ໆ ຮັບ​ອີ​ເມວ​ໄດ້​ ຫຼື ​ບໍ່ 
MITREPRE-ATT&CK 
T1361 Test signature detection for file upload/email filters

ຂັ້ນທີ 1. Mail-out to valid address ສົ່ງ​ອີ​ເມວ​ໂຈມ​ຕີ​ໄປ​ສະເພາະ​ອີ​ເມວ​ທີ່​ຖືກ​ຕ້ອງ ໂດຍ​ພາຍ​ໃນ​ມີ​ໄຟ​ລ​​ແນບ​ທີ່​ເປັນ​ອັນຕະລາຍ 
MITRE ATT&CK
T1193 Spearphishing Attachment ສົ່ງ​ອີ​ເມວ​ທີ່​ມີ​ໄຟ​ລ​​ແນບ​ອັນຕະລາຍ
T1204 User Execution ໃຊ້​ປະໂຫຍດ​ຈາກ User ເປີດ​ເບິ່ງ​ໄຟ​ລ​​ແນບ​ອັນຕະລາຍ
T1223 Compiled HTML files (.chm) ໃຊ້​ໄຟ​ລ​ .CHM ເປັນ​ໜຶ່ງ​ໃນ​ໄຟ​ລ​​ແນບ​ອັນຕະລາຍ
T1064 Scripting ໃຊ້ VB script

ຂັ້ນທີ 2. Infection of the victim's computer ເມື່ອເຫຍື່ອ​ຫຼົງ​ເປີດ​ໄຟ​ລ​​ແນບ​ ແລະ ​ຕິດ​ເຊື້ອ Silence.Downloader ຈະ​ຖືກ​ຕິດ​ຕັ້ງ​ໃນ​ເຄື່ອງເຫຍື່ອ
MITRE ATT&CK
T1086 PowerShell Ivoke ຂຽນ​ດ້ວຍ PowerShell
T1059 Command-Line Interface ມີ​ການ​ໃຊ້ Windows command-line

ຂັ້ນທີ 3. Persistence in the system ຍຶດເຄື່ອງ​ຖາວອນ​ດ້ວຍ Silence.Main, Silence.ProxyBot ແລະ Silence.ProxyBot.NET
MITRE ATT&CK
T1060 Registry Run Keys / Startup Folder ການ​ເພີ່ມ​ຕົວ​ເອງ​ໃນ Registry ເພື່ອ​ໃຫ້​ຍັງສາມາດຢູ່ໄດ້​ເຖິງແມ່ນວ່າຈະ​ປິດ​ເຄື່ອງ
T1410 Network Traffic Capture or Redirection ການ​ເກັບ​ຂໍ້​ມູນ​ ແລະ​ ສົ່ງ​ໄປ​ຫາ C&C

ຂັ້ນທີ 4. Lateral movement ກະ​ໂດດ​ໄປຫາເຄື່ອງ​ອື່ນ​ໆດ້ວຍ EmpireDNSAgent, winexe, sdelete ແລະ Farse
MITRE ATT&CK
T1027 Obfuscated Files or Information ເຂົ້າ​ລະ​ຫັດ​ຂໍ້​ມູນ​ຜ່ານ EmpireDNSAgent
T1428 Exploit Enterprise Resources ກະ​ໂດດ​ໄປຫາເຄື່ອງ​ອື່ນ​ໆຜ່ານ SMB
T1035 Service Execution ໃຊ້ Winexe 
T1107 File Deletion ລຶບຮ່ອງ​ຮອຍ​ດ້ວຍ sdelete

ຂັ້ນທີ 5. Attack execution ລັກເງິນຈາກ​ຕູ້ ATM ໂດຍ​ສັ່ງ​ການ​ຈາກ Atmosphere Trojan ແລະ xfs-disp.exe

 

ເອກະສານອ້າງອີງ: 

  1. https://www.i-secure.co.th/2019/08/silence2/
  2. https://www.group-ib.com/resources/threat-research/silence-attacks.html
  3. https://attack.mitre.org/groups/G0091/