Unsere Experten haben eine neue zielgerichtete Attacke entdeckt, die es mit dem Trojaner Silence auf Finanzinstitutionen abgesehen hat. Ganz vorn in der Schusslinie der Attacke stehen momentan russische Banken; aber auch Finanzorganisationen aus Malaysia und Armenien wurden bereits infiziert.
Taktisch gesehen ähnelt die Attacke der berüchtigten zielgerichteten Attacke der Cybergang Carbanak aus dem Jahr 2015: zunächst wird eine Phishing-E-Mail mit schädlichen Anhängen an Bankangestellte und Mitarbeiter von Finanzorganisationen gesendet, die daraufhin ausspioniert werden; es folgt eine betrügerische Transaktion. Diese bewährte Methode hatte der Cybergang damals bereits mehrere Milliarden Dollar eingebracht.
Dieses Mal haben die Angreifer den E-Mail-Hook allerdings perfektioniert. Nachdem sich die Kriminellen erfolgreich in die Infrastruktur eines Unternehmens eingeschleust haben, fangen sie an „Verträge“ an Bankpartner zu verschicken. Das nächste Opfer erhält also eine vollkommen „legitime“ Phishing-Mail eines Bankangestellten. Somit erhöht sich die Wahrscheinlichkeit, dass ein bösartiger Dateianhang ohne Bedenken geöffnet wird, um ein Vielfaches.
So funktioniert Silence
Das Opfer, ein Finanzangestellter, öffnet den angehängten „Vertrag“, bei dem es sich um eine Datei mit der Erweiterung .chm, (eine Microsoft-Hilfsdatei) handelt. Die eingebettete HTML-Datei enthält schädlichen JavaScript-Code, der zunächst einen Dropper lädt und aktiviert, der dann die Module des Silence-Trojaners lädt, die als Windows-Dienste agieren. Wir konnten Module zur Steuerung und Überwachung, Bildschirmaufzeichnung und Kommunikation mit Kontrollservern entdecken sowie ein Programm zur Remote-Ausführung von Konsolenbefehlen.
Mithilfe der Module können die Angreifer Daten über das infizierte Netzwerk sammeln und Bildaufnahmen vom Bildschirm des Angestellten machen. Der Fokus wird dann auf Angestellte gerichtet, die am wahrscheinlichsten nützliche finanzielle Informationen besitzen. Sobald die Eindringlinge eine Vorstellung davon haben, wie das Informationssystem des Opfers funktioniert, geben sie die Anweisung Geld auf ihre eigenen Konten zu überweisen.
Technische Details und IOCs können Sie in unserem Securelist-Beitrag finden.
So schützen Sie Ihr Unternehmen vor einer Silence-Attacke
Angestellte daran zu erinnern keine Anhänge externer E-Mails zu öffnen reicht offensichtlich nicht aus. Um Finanzinstitutionen vor modernen Cyberbedrohungen zu schützen, empfehlen wir:
- Trainings und Workshops abzuhalten, um die Awareness der Mitarbeiter zu steigern. Werfen Sie einen Blick auf unsere Kaspersky Security Awareness Trainings bei denen praktische Übungen und Angriffssimulationen durchgeführt werden, die dabei helfen die praktischen Fähigkeiten der Mitarbeiter zu erhöhen.
- Lösungen zu nutzen, die Anonmalien im Netzwerk bereits auf einer tiefen Ebene erkennen können, wie zum Beispiel Kaspersky Anti Targeted Attack. Diese Sicherheitslösung kann zielgerichtete Attacken aufspüren, selbst wenn diese bis dato unbekannte Methoden verwenden.