首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

WF曲速未来消息:Cobalt黑客组织在俄罗斯和罗马尼亚测试银行

WF曲速未来表示:根据本月观察到的新的鱼叉式网络钓鱼活动中,Cobalt黑客组织针对俄罗斯和罗马尼亚的银行,其电子邮件包含指向两个不同命令和控制服务器的两个有效负载。

Cobalt是一个网络犯罪团伙,至少在2016年开始运营,专门针对金融机构。根据欧洲刑警组织的数据,该组织与全球至少100家银行的网络攻击有关,从中偷走了大约10亿欧元。

虽然据称这名头目已于今年在西班牙被捕,并且有三名据信是黑客组成员的人 在本月初被指控,但该组仍在继续运作。

网络钓鱼电子邮件使用类似于金融组织的域

WF曲速区消息:在8月13日发现了一个带有Cobalt签名的新广告系列。目标是俄罗斯的NS银行。ASERT的威胁情报合作伙伴Intel471发现了针对罗马尼亚Carpatica Commercial Bank/Patria Bank的另一项活动。

发送给受害者的电子邮件据称来自与金融业有关的其他机构,这是一种旨在增加在附件中发布武器化文件的信心的策略。

经过研究人员检查了域名rietumu [.] me,它是一个连接到Cobalt活动的命令和控制(C2)服务器,并找到了一个电子邮件地址,导致他们在8月1日创建了五个新域,其中一个是inter -kassa [.]融为一体。

专家发现的其他领域,显然试图冒充金融机构是:

1.compass [.]plus-可能冒充BBVA Compass Bancshares或Compass Savings Bank

2.eucentalbank [.]com-可能冒充欧洲中央银行

3.eurocentalbank [.]com-可能冒充欧洲中央银行

4.unibank [.]信贷-可能冒充全球任何一家Unibank金融机构

Interkassa是一家位于佐治亚州(该国)的合法支付处理系统,提供超过50种支付工具,用于多种货币的在线交易。

寻找与此域名相关的样本,ASERT为NS Bank员工发现了一个网络钓鱼邮件。与“规范”相反,它包含两个指向恶意文件的链接:一个链接到带有混淆VBA脚本的Word文档,另一个用于下载扩展名更改为JPG的二进制文件。

电子邮件提供两个武器化文件的链接

武器化的Office文件需要具有运行宏的权限才能执行VBA脚本。但是如果启用了宏,则会触发一个复杂的操作,最后下载并运行与后者链接到Cobalt组的功能非常相似的JavaScript后门。

在NS Bank的电子邮件中伪装成JPEG图像的可执行文件来自hxxp:// sepa-europa [.] eu,一个假装与单一欧元支付区域(SEPA)相关的域名,这是一个更容易跨境的计划在欧盟空间内付款。

“UPX解压缩,是一个可执行文件,而不是一个图像文件。样本中充斥着垃圾代码,在进行去混淆自身之前花费了CPU周期。解包例程涉及用另一个可执行文件覆盖自己的内存,”ASERT解释道。

在分析了这个二进制文件之后,研究人员确定它是CobInt/COOLPANTS的一种变体-在过去由Cobalt黑客操作的C2上发现的侦察后门。

“在一封电子邮件中使用单独的感染点和两个独立的C2会使这个电子邮件变得特别。人们可以推测这会增加感染几率,”ASERT总结道。

罗马尼亚银行的鱼叉钓鱼员工

针对Carpatica商业银行的鱼叉式网络钓鱼活动现已与Patria Bank合并,提供的恶意软件共享相同的程序数据库,其中包含来自域名rietumul [.] me的样本,与Cobalt集团相关联。

网络钓鱼电子邮件的标题显示,攻击者再次使用SEPA作为恶意活动的掩护,使用SEPA Europe作为邮件的发件人。

目前还不清楚Intel471何时收到网络钓鱼邮件,但两周前罗马尼亚情报局(SRI)宣布它已经掌握了针对罗马尼亚金融机构的网络攻击的可靠信息。

根据来文,这些事件发生在6月到8月之间,这个时间框架与两家公司研究人员发现的活动重叠。

具有信息数据分析显示,黑客使用的攻击工具包括Cobalt Strike,这是一种用于渗透测试的软件。各种安保公司的大量报告证实了这一点,该报告审查了该集团的活动。

网络钓鱼就是这样开始的:

区块链安全公司WF曲速未来提醒:鱼叉式网络钓鱼是攻击的初始阶段,该组织试图在银行的数字基础设施中获得立足点。Cobalt小组的后续活动通常包括侦察和在网络内横向移动。

在他们了解目标如何运作并获得与高级员工相同的访问权限之后,黑客可以执行汇款,命令ATM,以及从支付网关和SWIFT系统窃取资金。

曲速未来

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180831A1DR8X00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券