WF曲速未来表示:根据本月观察到的新的鱼叉式网络钓鱼活动中,Cobalt黑客组织针对俄罗斯和罗马尼亚的银行,其电子邮件包含指向两个不同命令和控制服务器的两个有效负载。
Cobalt是一个网络犯罪团伙,至少在2016年开始运营,专门针对金融机构。根据欧洲刑警组织的数据,该组织与全球至少100家银行的网络攻击有关,从中偷走了大约10亿欧元。
虽然据称这名头目已于今年在西班牙被捕,并且有三名据信是黑客组成员的人 在本月初被指控,但该组仍在继续运作。
网络钓鱼电子邮件使用类似于金融组织的域
WF曲速区消息:在8月13日发现了一个带有Cobalt签名的新广告系列。目标是俄罗斯的NS银行。ASERT的威胁情报合作伙伴Intel471发现了针对罗马尼亚Carpatica Commercial Bank/Patria Bank的另一项活动。
发送给受害者的电子邮件据称来自与金融业有关的其他机构,这是一种旨在增加在附件中发布武器化文件的信心的策略。
经过研究人员检查了域名rietumu [.] me,它是一个连接到Cobalt活动的命令和控制(C2)服务器,并找到了一个电子邮件地址,导致他们在8月1日创建了五个新域,其中一个是inter -kassa [.]融为一体。
专家发现的其他领域,显然试图冒充金融机构是:
1.compass [.]plus-可能冒充BBVA Compass Bancshares或Compass Savings Bank
2.eucentalbank [.]com-可能冒充欧洲中央银行
3.eurocentalbank [.]com-可能冒充欧洲中央银行
4.unibank [.]信贷-可能冒充全球任何一家Unibank金融机构
Interkassa是一家位于佐治亚州(该国)的合法支付处理系统,提供超过50种支付工具,用于多种货币的在线交易。
寻找与此域名相关的样本,ASERT为NS Bank员工发现了一个网络钓鱼邮件。与“规范”相反,它包含两个指向恶意文件的链接:一个链接到带有混淆VBA脚本的Word文档,另一个用于下载扩展名更改为JPG的二进制文件。
电子邮件提供两个武器化文件的链接
武器化的Office文件需要具有运行宏的权限才能执行VBA脚本。但是如果启用了宏,则会触发一个复杂的操作,最后下载并运行与后者链接到Cobalt组的功能非常相似的JavaScript后门。
在NS Bank的电子邮件中伪装成JPEG图像的可执行文件来自hxxp:// sepa-europa [.] eu,一个假装与单一欧元支付区域(SEPA)相关的域名,这是一个更容易跨境的计划在欧盟空间内付款。
“UPX解压缩,是一个可执行文件,而不是一个图像文件。样本中充斥着垃圾代码,在进行去混淆自身之前花费了CPU周期。解包例程涉及用另一个可执行文件覆盖自己的内存,”ASERT解释道。
在分析了这个二进制文件之后,研究人员确定它是CobInt/COOLPANTS的一种变体-在过去由Cobalt黑客操作的C2上发现的侦察后门。
“在一封电子邮件中使用单独的感染点和两个独立的C2会使这个电子邮件变得特别。人们可以推测这会增加感染几率,”ASERT总结道。
罗马尼亚银行的鱼叉钓鱼员工
针对Carpatica商业银行的鱼叉式网络钓鱼活动现已与Patria Bank合并,提供的恶意软件共享相同的程序数据库,其中包含来自域名rietumul [.] me的样本,与Cobalt集团相关联。
网络钓鱼电子邮件的标题显示,攻击者再次使用SEPA作为恶意活动的掩护,使用SEPA Europe作为邮件的发件人。
目前还不清楚Intel471何时收到网络钓鱼邮件,但两周前罗马尼亚情报局(SRI)宣布它已经掌握了针对罗马尼亚金融机构的网络攻击的可靠信息。
根据来文,这些事件发生在6月到8月之间,这个时间框架与两家公司研究人员发现的活动重叠。
具有信息数据分析显示,黑客使用的攻击工具包括Cobalt Strike,这是一种用于渗透测试的软件。各种安保公司的大量报告证实了这一点,该报告审查了该集团的活动。
网络钓鱼就是这样开始的:
区块链安全公司WF曲速未来提醒:鱼叉式网络钓鱼是攻击的初始阶段,该组织试图在银行的数字基础设施中获得立足点。Cobalt小组的后续活动通常包括侦察和在网络内横向移动。
在他们了解目标如何运作并获得与高级员工相同的访问权限之后,黑客可以执行汇款,命令ATM,以及从支付网关和SWIFT系统窃取资金。
曲速未来
领取专属 10元无门槛券
私享最新 技术干货