Peneliti keamanan telah memperhatikan lonjakan perangkat yang terinfeksi pengunduh malware TrueBot yang dibuat oleh grup peretasan berbahasa Rusia yang dikenal sebagai Silence.
Grup Silence dikenal karena perampokannya yang besar terhadap lembaga keuangan, dan telah mulai beralih dari phishing sebagai vektor kompromi awal.
Pelaku ancaman juga menggunakan alat eksfiltrasi data kustom baru yang disebut Teleport. Analisis serangan Silence selama beberapa bulan terakhir mengungkapkan bahwa geng tersebut mengirimkan ransomware Clop biasanya digunakan oleh peretas TA505yang terkait dengan grup FIN11.
Infeksi Truebot
Peretas diam telah menanam malware mereka di lebih dari 1.500 sistem di seluruh dunia untuk mengambil kode shell, beacon Cobalt Strike, malware Grace, alat eksfiltrasi Teleport, dan ransomware Clop.
Kampanye baru dianalisis oleh para peneliti di Cisco Talos, yang mengamati beberapa vektor serangan baru yang digunakan sejak Agustus 2022.
Dalam sejumlah kecil serangan antara Agustus dan September, para peretas menginfeksi sistem dengan Truebot (Silence.Downloader) setelah mengeksploitasi kerentanan kritis di server Netwrix Auditor yang dilacak sebagai CVE-2022-31199.
Pada Oktober 2022, geng tersebut beralih menggunakan drive USB untuk menginfeksi komputer dengan worm Raspberry Robin, yang sering mengirimkan muatan IcedID, Bumblebee, dan Truebot.
SEBUAH laporan dari Microsoft pada bulan Oktober telah menghubungkan worm dengan distribusi ransomware Clop oleh aktor ancaman yang mereka lacak sebagai DEV-0950, yang aktivitas jahatnya tumpang tindih dengan aktivitas FIN11 dan TA505 (dikenal dengan menggunakan Clop dalam serangan pemerasan).
Cisco Talos mencatat bahwa geng Truebot menggunakan Raspberry Robin untuk menginfeksi lebih dari 1.000 host, banyak di antaranya adalah desktop yang tidak dapat diakses melalui web publik, terutama di Meksiko, Brasil, dan Pakistan.
Pada bulan November, para peretas menargetkan server Windows yang mengekspos layanan SMB, RDP, dan WinRM di internet publik. Para peneliti menghitung lebih dari 500 infeksi, sekitar 75% di antaranya di Amerika Serikat.
Truebot adalah modul tahap pertama yang dapat mengumpulkan informasi dasar dan mengambil tangkapan layar. Itu juga mengekstraksi informasi hubungan kepercayaan Direktori Aktif yang membantu aktor ancaman merencanakan aktivitas pasca-infeksi.
Server perintah dan kontrol (C2) kemudian dapat menginstruksikan Truebot untuk memuat kode shell atau DLL di memori, menjalankan modul tambahan, mencopot pemasangan sendiri, atau mengunduh file DLL, EXE, BAT, dan PS1.
Alat eksfiltrasi data Teleport baru
Pada fase pasca-kompromi, para peretas menggunakan Truebot untuk menjatuhkan beacon Cobalt Strike atau malware Grace (FlawedGrace, GraceWire), yang telah dikaitkan dengan kelompok penjahat dunia maya TA505.
Setelah itu, penyusup menyebarkan Teleport, yang digambarkan Cisco sebagai alat kustom baru yang dibangun di C++ yang membantu peretas mencuri data secara diam-diam.
Saluran komunikasi antara Teleport dan server C2 dienkripsi. Operator dapat membatasi kecepatan unggah, memfilter file berdasarkan ukuran untuk mencuri lebih banyak, atau menghapus muatan. Semua ini dirancang untuk menjaga profil rendah pada mesin korban.
Teleportasi juga dilengkapi opsi untuk mencuri file dari folder OneDrive, mengumpulkan email Outlook korban, atau menargetkan ekstensi file tertentu.
Dalam beberapa kasus, penyerang menyebarkan ransomware Clop setelah berpindah secara lateral ke sebanyak mungkin sistem dengan bantuan Cobalt Strike.
“Selama fase eksplorasi dan pergerakan lateral, penyerang menjelajahi server utama dan sistem file desktop, terhubung ke database SQL, dan mengumpulkan data yang dikeluarkan menggunakan alat Teleportasi ke server yang dikendalikan penyerang,” Peneliti Cisco Talos menjelaskan.
“Setelah data yang cukup dikumpulkan, penyerang membuat tugas terjadwal pada sejumlah besar sistem untuk secara bersamaan mulai mengeksekusi ransomware Clop dan mengenkripsi volume data setinggi mungkin.”
Aktivitas geng diam
Peneliti di perusahaan keamanan siber Group-IB telah melacak Silence/Truebot aktivitas sejak 2016 ketika peretas diam-diam membobol bank tetapi gagal mencuri uang karena masalah dengan perintah pembayaran.
Penyerang mencapai target yang sama lagi dan mulai memantau aktivitas operator bank dengan mengambil tangkapan layar dan streaming video dari sistem yang terinfeksi untuk mempelajari cara kerja prosedur pengiriman uang.
Pada tahun 2017, mereka melakukan perampokan sukses pertama mereka, sesuai pengetahuan Grup-IB, menyerang sistem ATM dan mencuri lebih dari $100.000 dalam satu malam.
Diam melanjutkan serangan mereka dan dalam tiga tahun antara 2016 dan 2019 mereka mencuri setidaknya $4,2 juta dari bank bekas Uni Soviet, Eropa, Amerika Latin, dan Asia,
sumber: Grup-IB
Peneliti Grup-IB menggambarkan peretas Silence sebagai sangat terampil, mampu merekayasa balik malware untuk memodifikasinya untuk tujuan mereka atau beradaptasi pada tingkat instruksi assembler, eksploitasi yang digunakan oleh grup negara bagian Fancy Bear. Mereka juga mampu mengembangkan alat mereka sendiri.
Awalnya, penyerang hanya menargetkan organisasi di Rusia tetapi Silence memperluas jangkauan mereka di tingkat global selama beberapa tahun terakhir.
