WF曲速未來消息:Cobalt黑客組織在俄羅斯和羅馬尼亞測試銀行區(qū)塊鏈
WF曲速未來表示:根據(jù)本月觀察到的新的魚叉式網(wǎng)絡(luò)釣魚活動中,Cobalt黑客組織針對俄羅斯和羅馬尼亞的銀行,其電子郵件包含指向兩個不同命令和控制服務(wù)器的兩個有效負(fù)載。
WF曲速未來表示:根據(jù)本月觀察到的新的魚叉式網(wǎng)絡(luò)釣魚活動中,Cobalt黑客組織針對俄羅斯和羅馬尼亞的銀行,其電子郵件包含指向兩個不同命令和控制服務(wù)器的兩個有效負(fù)載。
Cobalt是一個網(wǎng)絡(luò)犯罪團(tuán)伙,至少在2016年開始運(yùn)營,專門針對金融機(jī)構(gòu)。根據(jù)歐洲刑警組織的數(shù)據(jù),該組織與全球至少100家銀行的網(wǎng)絡(luò)攻擊有關(guān),從中偷走了大約10億歐元。
雖然據(jù)稱這名頭目已于今年在西班牙被捕,并且有三名據(jù)信是黑客組成員的人 在本月初被指控,但該組仍在繼續(xù)運(yùn)作。
網(wǎng)絡(luò)釣魚電子郵件使用類似于金融組織的域
WF曲速區(qū)消息:在8月13日發(fā)現(xiàn)了一個帶有Cobalt簽名的新廣告系列。目標(biāo)是俄羅斯的NS銀行。ASERT的威脅情報合作伙伴Intel471發(fā)現(xiàn)了針對羅馬尼亞Carpatica Commercial Bank/Patria Bank的另一項(xiàng)活動。
發(fā)送給受害者的電子郵件據(jù)稱來自與金融業(yè)有關(guān)的其他機(jī)構(gòu),這是一種旨在增加在附件中發(fā)布武器化文件的信心的策略。
經(jīng)過研究人員檢查了域名rietumu [.] me,它是一個連接到Cobalt活動的命令和控制(C2)服務(wù)器,并找到了一個電子郵件地址,導(dǎo)致他們在8月1日創(chuàng)建了五個新域,其中一個是inter -kassa [.]融為一體。
專家發(fā)現(xiàn)的其他領(lǐng)域,顯然試圖冒充金融機(jī)構(gòu)是:
1.compass [.]plus-可能冒充BBVA Compass Bancshares或Compass Savings Bank
2.eucentalbank [.]com-可能冒充歐洲中央銀行
3.eurocentalbank [.]com-可能冒充歐洲中央銀行
4.unibank [.]信貸-可能冒充全球任何一家Unibank金融機(jī)構(gòu)
Interkassa是一家位于佐治亞州(該國)的合法支付處理系統(tǒng),提供超過50種支付工具,用于多種貨幣的在線交易。
尋找與此域名相關(guān)的樣本,ASERT為NS Bank員工發(fā)現(xiàn)了一個網(wǎng)絡(luò)釣魚郵件。與“規(guī)范”相反,它包含兩個指向惡意文件的鏈接:一個鏈接到帶有混淆VBA腳本的Word文檔,另一個用于下載擴(kuò)展名更改為JPG的二進(jìn)制文件。
電子郵件提供兩個武器化文件的鏈接
武器化的Office文件需要具有運(yùn)行宏的權(quán)限才能執(zhí)行VBA腳本。但是如果啟用了宏,則會觸發(fā)一個復(fù)雜的操作,最后下載并運(yùn)行與后者鏈接到Cobalt組的功能非常相似的JavaScript后門。
在NS Bank的電子郵件中偽裝成JPEG圖像的可執(zhí)行文件來自hxxp:// sepa-europa [.] eu,一個假裝與單一歐元支付區(qū)域(SEPA)相關(guān)的域名,這是一個更容易跨境的計劃在歐盟空間內(nèi)付款。
“UPX解壓縮,是一個可執(zhí)行文件,而不是一個圖像文件。樣本中充斥著垃圾代碼,在進(jìn)行去混淆自身之前花費(fèi)了CPU周期。解包例程涉及用另一個可執(zhí)行文件覆蓋自己的內(nèi)存,”ASERT解釋道。
在分析了這個二進(jìn)制文件之后,研究人員確定它是CobInt/COOLPANTS的一種變體-在過去由Cobalt黑客操作的C2上發(fā)現(xiàn)的偵察后門。
“在一封電子郵件中使用單獨(dú)的感染點(diǎn)和兩個獨(dú)立的C2會使這個電子郵件變得特別。人們可以推測這會增加感染幾率,”ASERT總結(jié)道。
羅馬尼亞銀行的魚叉釣魚員工
針對Carpatica商業(yè)銀行的魚叉式網(wǎng)絡(luò)釣魚活動現(xiàn)已與Patria Bank合并,提供的惡意軟件共享相同的程序數(shù)據(jù)庫,其中包含來自域名rietumul [.] me的樣本,與Cobalt集團(tuán)相關(guān)聯(lián)。
網(wǎng)絡(luò)釣魚電子郵件的標(biāo)題顯示,攻擊者再次使用SEPA作為惡意活動的掩護(hù),使用SEPA Europe作為郵件的發(fā)件人。
目前還不清楚Intel471何時收到網(wǎng)絡(luò)釣魚郵件,但兩周前羅馬尼亞情報局(SRI)宣布它已經(jīng)掌握了針對羅馬尼亞金融機(jī)構(gòu)的網(wǎng)絡(luò)攻擊的可靠信息。
根據(jù)來文,這些事件發(fā)生在6月到8月之間,這個時間框架與兩家公司研究人員發(fā)現(xiàn)的活動重疊。
具有信息數(shù)據(jù)分析顯示,黑客使用的攻擊工具包括Cobalt Strike,這是一種用于滲透測試的軟件。各種安保公司的大量報告證實(shí)了這一點(diǎn),該報告審查了該集團(tuán)的活動。
網(wǎng)絡(luò)釣魚就是這樣開始的:
區(qū)塊鏈安全公司W(wǎng)F曲速未來提醒:魚叉式網(wǎng)絡(luò)釣魚是攻擊的初始階段,該組織試圖在銀行的數(shù)字基礎(chǔ)設(shè)施中獲得立足點(diǎn)。Cobalt小組的后續(xù)活動通常包括偵察和在網(wǎng)絡(luò)內(nèi)橫向移動。
在他們了解目標(biāo)如何運(yùn)作并獲得與高級員工相同的訪問權(quán)限之后,黑客可以執(zhí)行匯款,命令A(yù)TM,以及從支付網(wǎng)關(guān)和SWIFT系統(tǒng)竊取資金。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
