Зафиксирована первая массовая атака Silence на российские банки в 2019 году

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сообщила о масштабной волне вредоносных рассылок группы Silence в России. С начала года это самая крупная атака, насчитывающая более 80 000 получателей — сотрудников российских кредитно-финансовых организаций, среди которых основную долю занимают банки и крупные платежные системы.

Массовая атака началась с фишинговых рассылок Silence 16 января. Впервые в практике Silence вредоносное вложение было замаскировано под приглашение на iFin-2019. Интересно, что XIX Международный Форум iFin-2019 «Электронные финансовые услуги и технологии», действительно, пройдет в Москве 19 и 20 февраля, о чем организаторы мероприятия сделали рассылку около 9 утра по Москве 16 января. Через несколько часов свое «приглашение» отправили Silence. Фальшивая рассылка велась от имени «Forum iFin-2019», но с адреса info@bankuco[.]com. Текстовые совпадения указывают на то, что в своем письме злоумышленники использовали официальный анонс-приглашение, но отредактировали его.

«Заполните анкету в приложенном архиве и перешлите нам. Вы получите два бесплатных пригласительных и название Вашего банка будет размещено на официальном портале форума», — говорится в не слишком грамотном письме Silence. В аттаче к посланию был прикреплен ZIP-архив, внутри которого приглашение на банковский форум и вредоносное вложение Silence.Downloader aka TrueBot — инструмент, который используют только хакеры Silence.

Практика маскировки злоумышленниками вредоносных программ под официальные приглашения широко распространена у прогосударственных хакерских группировок (APT), которые специализируются на шпионаже: они направляют в военные ведомства, посольства, министерства и СМИ «приглашения» на конференции НАТО, ООН или ЕС, внутри которых скрыты вредоносные программы, цель которых шпионить за получателем.

В январской фишинговой рассылке был использован реальный анонс финансового форума, это еще раз подтверждает версию о том, что участниками Silence, одной из самых малочисленных и слабоизученных хакерских групп, являются люди, предположительно занимавшиеся или занимающиеся легальной работой, в том числе, пентестами и реверс-инжинирингом в финансовом секторе.

В пользу этой версии говорит и другой факт: в рамках январской кампании специалисты Group-IB обнаружили еще две фишинговые рассылки, нацеленные на российские банки, якобы от имени начальников отделов межбанковских операций несуществующих банков — ЗАО «Банк ICA» и ЗАО «Банкуралпром». Отправители обращались в банки с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентских счетов их организаций. Во вложении содержался архив с договором, при распаковке которого на компьютер пользователя загружалась все та же вредоносная программа Silence.Downloader.

Как показал анализ текста письма, хакеры Silence не застрахованы от ошибок — в письме от имени ЗАО «Банкуралпром» в подписи значится другой несуществующий банк ЗАО «БанкЮКО». Проверка по указанным адресам (Челябинская область, город Магнитогорск, ул Гагарина, д.17 и д. 25) показала, что здесь расположен офис другой кредитно-финансовой организации и жилой дом.

Опыт Group-IB показал, что киберпреступники активно атакуют финансовые организации в период с 25 декабря по 14 января. Накануне новогодних праздников на счетах банков, как правило, аккумулируется большое количество денежных средств; банковские работники уже не столь бдительны, многие из них, не исключая службу безопасности, уходят в отпуск. Этим пользуются злоумышленники.

В период с 25 по 27 декабря Group-IB зафиксировала вредоносные рассылки Silence по финансовым учреждениям. На этот раз применялась новая схема с использованием социальной инженерии. Преступники разослали письма якобы от реально существующей фармацевтической компании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект. Хакеры Silence, представляясь «соучредителем» фармкомпании, детально описывали филиальную структуру, указывали количество сотрудников и «торопили» со сменой партнера по зарплатному проекту. Более того, в письмо якобы был вложен «дизайн-макет», чтоб сделать брендированные банковские карты для персонала...

Подобное «готовое» предложение от клиента — весьма «аппетитная наживка» для банка. Вероятность того, что банковские сотрудники, получившие подобное предложение, откроют аттач, высока. Однако в результате распаковки архива произойдет загрузка лоадера, а потом и основного модуля Silence на машину жертвы.

«Вредоносная активность декабрьской и январской кампаний была зафиксирована Group-IB Threat Detection System в российских банках и была заблокирована, — прокомментировал Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB. — Об индикаторах атаки, а также способах защиты были оперативно оповещены все клиенты Group-IB. Очевидно, что масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний. Что примечательно, мы фиксируем изменения в работе группы, которые начали появляться спустя некоторое время после выпуска технического отчета Group-IB, описывающего тактику действий хакеров и детали атак. На данный момент Silence — одна из самых опасных русскоязычных групп, фактически стоящая в одном ряду с Cobalt и MoneyTaker».

Silence часто эксплуатируют банковскую тематику: в ноябре хакеры отправляли массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. Разумеется, сам ЦБ не имеет к рассылке никакого отношения — злоумышленники подделали адрес отправителя. Стиль и оформление письма практически идентичны официальным рассылкам регулятора: письма с темой «Информация центрального банка Российской Федерации» предлагали получателям ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Однако в архиве письма также содержалась вредоносная программа. Получателями ноябрьской рассылки, по данным Group-IB, оказались как минимум 52 банка в России и 5 банков за рубежом.