久久婷婷五夜综合色频,在线一区播放,激情影院网站

WF曲速未來消息：Cobalt黑客組織在俄羅斯和羅馬尼亞測試銀行區(qū)塊鏈

曲速未來安全區(qū) 2018-08-31 18:01

分享到：

導讀

WF曲速未來表示：根據(jù)本月觀察到的新的魚叉式網絡釣魚活動中，Cobalt黑客組織針對俄羅斯和羅馬尼亞的銀行，其電子郵件包含指向兩個不同命令和控制服務器的兩個有效負載。

Cobalt是一個網絡犯罪團伙，至少在2016年開始運營，專門針對金融機構。根據(jù)歐洲刑警組織的數(shù)據(jù)，該組織與全球至少100家銀行的網絡攻擊有關，從中偷走了大約10億歐元。

雖然據(jù)稱這名頭目已于今年在西班牙被捕，并且有三名據(jù)信是黑客組成員的人在本月初被指控，但該組仍在繼續(xù)運作。

網絡釣魚電子郵件使用類似于金融組織的域

WF曲速區(qū)消息：在8月13日發(fā)現(xiàn)了一個帶有Cobalt簽名的新廣告系列。目標是俄羅斯的NS銀行。ASERT的威脅情報合作伙伴Intel471發(fā)現(xiàn)了針對羅馬尼亞Carpatica Commercial Bank/Patria Bank的另一項活動。

發(fā)送給受害者的電子郵件據(jù)稱來自與金融業(yè)有關的其他機構，這是一種旨在增加在附件中發(fā)布武器化文件的信心的策略。

經過研究人員檢查了域名rietumu [.] me，它是一個連接到Cobalt活動的命令和控制（C2）服務器，并找到了一個電子郵件地址，導致他們在8月1日創(chuàng)建了五個新域，其中一個是inter -kassa [.]融為一體。

專家發(fā)現(xiàn)的其他領域，顯然試圖冒充金融機構是：

1.compass [.]plus-可能冒充BBVA Compass Bancshares或Compass Savings Bank

2.eucentalbank [.]com-可能冒充歐洲中央銀行

3.eurocentalbank [.]com-可能冒充歐洲中央銀行

4.unibank [.]信貸-可能冒充全球任何一家Unibank金融機構

Interkassa是一家位于佐治亞州（該國）的合法支付處理系統(tǒng)，提供超過50種支付工具，用于多種貨幣的在線交易。

尋找與此域名相關的樣本，ASERT為NS Bank員工發(fā)現(xiàn)了一個網絡釣魚郵件。與“規(guī)范”相反，它包含兩個指向惡意文件的鏈接：一個鏈接到帶有混淆VBA腳本的Word文檔，另一個用于下載擴展名更改為JPG的二進制文件。

電子郵件提供兩個武器化文件的鏈接

武器化的Office文件需要具有運行宏的權限才能執(zhí)行VBA腳本。但是如果啟用了宏，則會觸發(fā)一個復雜的操作，最后下載并運行與后者鏈接到Cobalt組的功能非常相似的JavaScript后門。

在NS Bank的電子郵件中偽裝成JPEG圖像的可執(zhí)行文件來自hxxp：// sepa-europa [.] eu，一個假裝與單一歐元支付區(qū)域（SEPA）相關的域名，這是一個更容易跨境的計劃在歐盟空間內付款。

“UPX解壓縮，是一個可執(zhí)行文件，而不是一個圖像文件。樣本中充斥著垃圾代碼，在進行去混淆自身之前花費了CPU周期。解包例程涉及用另一個可執(zhí)行文件覆蓋自己的內存，”ASERT解釋道。

在分析了這個二進制文件之后，研究人員確定它是CobInt/COOLPANTS的一種變體-在過去由Cobalt黑客操作的C2上發(fā)現(xiàn)的偵察后門。

“在一封電子郵件中使用單獨的感染點和兩個獨立的C2會使這個電子郵件變得特別。人們可以推測這會增加感染幾率，”ASERT總結道。

羅馬尼亞銀行的魚叉釣魚員工

針對Carpatica商業(yè)銀行的魚叉式網絡釣魚活動現(xiàn)已與Patria Bank合并，提供的惡意軟件共享相同的程序數(shù)據(jù)庫，其中包含來自域名rietumul [.] me的樣本，與Cobalt集團相關聯(lián)。

網絡釣魚電子郵件的標題顯示，攻擊者再次使用SEPA作為惡意活動的掩護，使用SEPA Europe作為郵件的發(fā)件人。

目前還不清楚Intel471何時收到網絡釣魚郵件，但兩周前羅馬尼亞情報局（SRI）宣布它已經掌握了針對羅馬尼亞金融機構的網絡攻擊的可靠信息。

根據(jù)來文，這些事件發(fā)生在6月到8月之間，這個時間框架與兩家公司研究人員發(fā)現(xiàn)的活動重疊。

具有信息數(shù)據(jù)分析顯示，黑客使用的攻擊工具包括Cobalt Strike，這是一種用于滲透測試的軟件。各種安保公司的大量報告證實了這一點，該報告審查了該集團的活動。

網絡釣魚就是這樣開始的：

區(qū)塊鏈安全公司WF曲速未來提醒：魚叉式網絡釣魚是攻擊的初始階段，該組織試圖在銀行的數(shù)字基礎設施中獲得立足點。Cobalt小組的后續(xù)活動通常包括偵察和在網絡內橫向移動。

在他們了解目標如何運作并獲得與高級員工相同的訪問權限之后，黑客可以執(zhí)行匯款，命令ATM，以及從支付網關和SWIFT系統(tǒng)竊取資金。

Cobalt 網絡文件電子郵件活動

分享到：

1.TMT觀察網遵循行業(yè)規(guī)范，任何轉載的稿件都會明確標注作者和來源；
2.TMT觀察網的原創(chuàng)文章，請轉載時務必注明文章作者和"來源：TMT觀察網"，不尊重原創(chuàng)的行為TMT觀察網或將追究責任；
3.作者投稿可能會經TMT觀察網編輯修改或補充。

專題報道