{"id":15169,"date":"2017-11-02T17:38:52","date_gmt":"2017-11-02T15:38:52","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=15169"},"modified":"2020-04-10T11:42:11","modified_gmt":"2020-04-10T09:42:11","slug":"silence-financial-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/silence-financial-apt\/15169\/","title":{"rendered":"Silence: Eine neue APT-Kampagne"},"content":{"rendered":"

Unsere Experten haben eine neue zielgerichtete Attacke entdeckt, die es mit dem Trojaner<\/span>\u00a0Silence<\/em> auf Finanzinstitutionen abgesehen hat. Ganz vorn in der Schusslinie der Attacke stehen momentan russische Banken; aber auch Finanzorganisationen aus Malaysia und Armenien wurden bereits infiziert.<\/span><\/p>\n

Taktisch gesehen \u00e4hnelt die Attacke der ber\u00fcchtigten zielgerichteten Attacke der Cybergang Carbanak aus dem Jahr 2015: zun\u00e4chst wird eine Phishing-E-Mail mit sch\u00e4dlichen Anh\u00e4ngen an Bankangestellte und Mitarbeiter von Finanzorganisationen gesendet, die daraufhin ausspioniert werden; es folgt eine betr\u00fcgerische Transaktion. Diese bew\u00e4hrte Methode hatte der Cybergang damals bereits mehrere Milliarden Dollar eingebracht<\/a>.<\/span><\/p>\n

Dieses Mal haben die Angreifer den E-Mail-Hook allerdings perfektioniert. Nachdem sich die Kriminellen erfolgreich in die Infrastruktur eines Unternehmens eingeschleust<\/span>\u00a0haben, fangen sie an \u201eVertr\u00e4ge\u201c an Bankpartner zu verschicken. Das n\u00e4chste Opfer erh\u00e4lt also eine vollkommen \u201elegitime\u201c Phishing-Mail eines Bankangestellten. Somit erh\u00f6ht sich die Wahrscheinlichkeit, dass ein b\u00f6sartiger Dateianhang ohne Bedenken ge\u00f6ffnet wird, um ein Vielfaches.<\/span><\/p>\n

\"\"<\/a><\/p>\n

So funktioniert Silence<\/h2>\n

Das Opfer, ein Finanzangestellter, \u00f6ffnet den angeh\u00e4ngten \u201eVertrag\u201c, bei dem es sich um eine Datei mit der Erweiterung .chm, (eine Microsoft-Hilfsdatei) handelt. Die eingebettete HTML-Datei enth\u00e4lt sch\u00e4dlichen JavaScript-Code, der zun\u00e4chst einen Dropper l\u00e4dt und aktiviert, der dann die Module des Silence-Trojaners l\u00e4dt, die als Windows-Dienste agieren. Wir konnten Module zur Steuerung und \u00dcberwachung, Bildschirmaufzeichnung und Kommunikation mit Kontrollservern entdecken sowie ein Programm zur Remote-Ausf\u00fchrung von Konsolenbefehlen.<\/span><\/p>\n

Mithilfe der Module k\u00f6nnen die Angreifer Daten \u00fcber das infizierte Netzwerk sammeln und Bildaufnahmen vom Bildschirm des Angestellten machen. Der Fokus wird dann auf Angestellte gerichtet, die am wahrscheinlichsten n\u00fctzliche finanzielle Informationen besitzen. Sobald die Eindringlinge eine Vorstellung davon haben, wie das Informationssystem des Opfers funktioniert, geben sie die Anweisung<\/span>\u00a0Geld auf ihre eigenen Konten zu \u00fcberweisen.<\/span><\/p>\n

Technische Details und IOCs k\u00f6nnen Sie in unserem Securelist-Beitrag <\/a>finden.<\/span><\/p>\n

So sch\u00fctzen Sie Ihr Unternehmen vor einer Silence-Attacke<\/span><\/h3>\n

Angestellte daran zu erinnern keine Anh\u00e4nge externer E-Mails zu \u00f6ffnen reicht offensichtlich nicht aus. Um Finanzinstitutionen vor modernen Cyberbedrohungen zu sch\u00fctzen, empfehlen wir:<\/span><\/p>\n

    \n
  1. Trainings und Workshops abzuhalten, um die Awareness der Mitarbeiter zu steigern. Werfen Sie einen Blick auf unsere Kaspersky Security Awareness Trainings<\/a> bei denen praktische \u00dcbungen und Angriffssimulationen durchgef\u00fchrt werden, die dabei helfen die praktischen F\u00e4higkeiten der Mitarbeiter zu erh\u00f6hen.<\/li>\n
  2. L\u00f6sungen zu nutzen, die Anonmalien im Netzwerk bereits auf einer tiefen Ebene erkennen k\u00f6nnen, wie zum Beispiel Kaspersky Anti Targeted Attack<\/a>. Diese Sicherheitsl\u00f6sung kann zielgerichtete Attacken aufsp\u00fcren, selbst wenn diese bis dato unbekannte Methoden verwenden.<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"

    Silence: Eine neue APT-Attacke, die es auf Finanzinstitutionen abgesehen hat<\/p>\n","protected":false},"author":700,"featured_media":15172,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[522,119,1331,1413,2767,2769,2723,53,2768,257],"class_list":{"0":"post-15169","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-apt","10":"tag-banken","11":"tag-carbanak","12":"tag-finanzen","13":"tag-fonds","14":"tag-kaspersky-anti-targeted-attack","15":"tag-kaspersky-security-awareness","16":"tag-phishing","17":"tag-silence","18":"tag-trojaner"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/silence-financial-apt\/15169\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/silence-financial-apt\/11689\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/silence-financial-apt\/14714\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/silence-financial-apt\/14436\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/silence-financial-apt\/19121\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/silence-financial-apt\/4372\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/silence-financial-apt\/19993\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/silence-financial-apt\/8460\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/silence-financial-apt\/18600\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15169","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=15169"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15169\/revisions"}],"predecessor-version":[{"id":23676,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15169\/revisions\/23676"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/15172"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=15169"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=15169"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=15169"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}