俄罗斯骇客组织攻击全球30国银行掠财，台湾为亚洲首要目标

安全公司侦测到一个名为Silence的俄罗斯骇客组织，近年对全球超过30国银行发动攻击以窃取财产，台湾成为这个组织在亚洲攻击最频繁的目标。

安全公司Group-IB本周公布报告，Silence从2016年6月窜起，并以俄罗斯为起点逐步扩散，锁定全球金融业发动攻击，如今已成为金融业最活跃的骇客组织之一。

为了躲避安全产品的侦测，Silence近年使用的攻击工具也大幅改进，包括加密字母表、字串加密工具、僵尸指令及主要攻击模组。他们也改写了用作第一阶段的攻击模组Truebot下载器（loader）成Silence.Downloader、还开始使用以PowerShell写成的无档案下载器Ivoke、EDA代理程式，并积极开始发动无档案攻击进行。他们的手法还包括发送侦察式电子邮件（reconnaissance email），这种邮件假冒是传送失败的系统自动回复信件，虽没有攻击程式，但可以搜集有效电子邮件信箱，作为未来攻击的准备。

Group-IB研究人员发现，Silence从去年10月开始攻击范围扩及前苏联国家、欧洲，并在11月触及亚洲。根据分析，Silence在当月发了17万封侦察式电子邮件，包括亚洲的8万封，其中台湾以2.1万封居榜首、其次是马来西亚（1.6万封）及韩国（8,800封）。光是今年就有30多个国家金融机构的工作站，遭Silence恶意程式感染。

一旦验证为有效电子邮件信箱后，骇客就开始发送载有攻击程式的恶意邮件，接着以其工具渗透受害银行的内部网络及横向移动。如果金融机构安全防护技术未能侦测到，最后骇客得以控制信用卡处理中心、并以Atmosphere木马或名为xfs-disp.exe的程控提款机在特定时间吐钞，并由外部车手取款。

研究人员发现，这个组织和今年6月一个跨洲感染远端存取木马程式FlawedAmmyy有关，当时安全产业以TA505称呼背后组织，Group-IB发现它和Silence撰写的Silence.Downloader甚为相似。在FlawedAmmyy随网钓邮件向全球各洲金融与零售业蔓延，台湾也在受害范围中。