【安全资讯】SilenceAPT活动和技术手段分析

 Silence攻击活动

   图片来源：https://www.secshi.com/16242.html

  Silence Group介绍：

Silence-2016年披露之后，定向攻击活动逐渐遍布全球，攻击活动以亚洲为主趋向全球”贸易化”。主要目标金融行业，研究员披露Silence内部组织架构分为运营商和研发两大核心，分别负责渗透和自研发工作。

近两年攻击趋势愈演愈烈，全球多个国家都遭受来自Silence黑客组织钓鱼邮件攻击，SilencAPT曾对荷兰孟加拉银行ATM攻击，导致300万美元被盗，可推断Silence成员对ATM系统具备丰富的专业知识，掌握针对性攻击技巧与组件库。

 Silence Group工具库：

TTPs分析

战术主要通过钓鱼邮件”撕口”，落地后通过vb、js、powershell初始化载荷，二级感染链下载C2和组件工具，从而达到远控窃取目的。

 1. 攻击活动遍布亚洲，欧洲和后苏联国家，发送了170,000多封“侦察”电子邮件。

2. 2018年11月以来，Silence向台湾，马来西亚，韩国，阿联酋，印度尼西亚，巴基斯坦，约旦，沙特阿拉伯，新加坡，越南，香港和中国的组织发送了近80,000封电子邮件。

3. 2018年10月Silence在俄罗斯和后苏联各州投递，小组向总部位于英国的金融组织发送了不到10,000封侦察电子邮件。

数据来源:https://securityaffairs.co/wordpress/90160/apt/silence-apt-operations-damage.html

CHM攻击链

➣借助于CHM执行-装载Silence远控木马，虽然CHM已经成了过去式，但是仍是有效的攻击手法，执行js下载Silence.Downloder。

     Silence.Downloder创建互斥体ipv6/dns命名，将自身拷贝$AppData\Roaming\conhost.exe，修改注册表实现持久化,利用WIN_Api_Get请求恶意VBScript。      

初始化执行Powershell有效载荷，下载通信C2组件和工具库，实现窃取目标等目的。

安全建议

1. 不要随意打开下载文件,不隐藏后缀名。

2. 内部定期开展安全培训,加强人员网络安全意识。

3. 日常工作中,不随便打开未知邮件内容(包含附件和文档)。

4. 系统巡检加固。