WF曲速未來(lái)消息:Cobalt黑客組織在俄羅斯和羅馬尼亞測(cè)試銀行區(qū)塊鏈
WF曲速未來(lái)表示:根據(jù)本月觀察到的新的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)中,Cobalt黑客組織針對(duì)俄羅斯和羅馬尼亞的銀行,其電子郵件包含指向兩個(gè)不同命令和控制服務(wù)器的兩個(gè)有效負(fù)載。
WF曲速未來(lái)表示:根據(jù)本月觀察到的新的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)中,Cobalt黑客組織針對(duì)俄羅斯和羅馬尼亞的銀行,其電子郵件包含指向兩個(gè)不同命令和控制服務(wù)器的兩個(gè)有效負(fù)載。
Cobalt是一個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙,至少在2016年開(kāi)始運(yùn)營(yíng),專門(mén)針對(duì)金融機(jī)構(gòu)。根據(jù)歐洲刑警組織的數(shù)據(jù),該組織與全球至少100家銀行的網(wǎng)絡(luò)攻擊有關(guān),從中偷走了大約10億歐元。
雖然據(jù)稱這名頭目已于今年在西班牙被捕,并且有三名據(jù)信是黑客組成員的人 在本月初被指控,但該組仍在繼續(xù)運(yùn)作。
網(wǎng)絡(luò)釣魚(yú)電子郵件使用類似于金融組織的域
WF曲速區(qū)消息:在8月13日發(fā)現(xiàn)了一個(gè)帶有Cobalt簽名的新廣告系列。目標(biāo)是俄羅斯的NS銀行。ASERT的威脅情報(bào)合作伙伴Intel471發(fā)現(xiàn)了針對(duì)羅馬尼亞Carpatica Commercial Bank/Patria Bank的另一項(xiàng)活動(dòng)。
發(fā)送給受害者的電子郵件據(jù)稱來(lái)自與金融業(yè)有關(guān)的其他機(jī)構(gòu),這是一種旨在增加在附件中發(fā)布武器化文件的信心的策略。
經(jīng)過(guò)研究人員檢查了域名rietumu [.] me,它是一個(gè)連接到Cobalt活動(dòng)的命令和控制(C2)服務(wù)器,并找到了一個(gè)電子郵件地址,導(dǎo)致他們?cè)?月1日創(chuàng)建了五個(gè)新域,其中一個(gè)是inter -kassa [.]融為一體。
專家發(fā)現(xiàn)的其他領(lǐng)域,顯然試圖冒充金融機(jī)構(gòu)是:
1.compass [.]plus-可能冒充BBVA Compass Bancshares或Compass Savings Bank
2.eucentalbank [.]com-可能冒充歐洲中央銀行
3.eurocentalbank [.]com-可能冒充歐洲中央銀行
4.unibank [.]信貸-可能冒充全球任何一家Unibank金融機(jī)構(gòu)
Interkassa是一家位于佐治亞州(該國(guó))的合法支付處理系統(tǒng),提供超過(guò)50種支付工具,用于多種貨幣的在線交易。
尋找與此域名相關(guān)的樣本,ASERT為NS Bank員工發(fā)現(xiàn)了一個(gè)網(wǎng)絡(luò)釣魚(yú)郵件。與“規(guī)范”相反,它包含兩個(gè)指向惡意文件的鏈接:一個(gè)鏈接到帶有混淆VBA腳本的Word文檔,另一個(gè)用于下載擴(kuò)展名更改為JPG的二進(jìn)制文件。
電子郵件提供兩個(gè)武器化文件的鏈接
武器化的Office文件需要具有運(yùn)行宏的權(quán)限才能執(zhí)行VBA腳本。但是如果啟用了宏,則會(huì)觸發(fā)一個(gè)復(fù)雜的操作,最后下載并運(yùn)行與后者鏈接到Cobalt組的功能非常相似的JavaScript后門(mén)。
在NS Bank的電子郵件中偽裝成JPEG圖像的可執(zhí)行文件來(lái)自hxxp:// sepa-europa [.] eu,一個(gè)假裝與單一歐元支付區(qū)域(SEPA)相關(guān)的域名,這是一個(gè)更容易跨境的計(jì)劃在歐盟空間內(nèi)付款。
“UPX解壓縮,是一個(gè)可執(zhí)行文件,而不是一個(gè)圖像文件。樣本中充斥著垃圾代碼,在進(jìn)行去混淆自身之前花費(fèi)了CPU周期。解包例程涉及用另一個(gè)可執(zhí)行文件覆蓋自己的內(nèi)存,”ASERT解釋道。
在分析了這個(gè)二進(jìn)制文件之后,研究人員確定它是CobInt/COOLPANTS的一種變體-在過(guò)去由Cobalt黑客操作的C2上發(fā)現(xiàn)的偵察后門(mén)。
“在一封電子郵件中使用單獨(dú)的感染點(diǎn)和兩個(gè)獨(dú)立的C2會(huì)使這個(gè)電子郵件變得特別。人們可以推測(cè)這會(huì)增加感染幾率,”ASERT總結(jié)道。
羅馬尼亞銀行的魚(yú)叉釣魚(yú)員工
針對(duì)Carpatica商業(yè)銀行的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)現(xiàn)已與Patria Bank合并,提供的惡意軟件共享相同的程序數(shù)據(jù)庫(kù),其中包含來(lái)自域名rietumul [.] me的樣本,與Cobalt集團(tuán)相關(guān)聯(lián)。
網(wǎng)絡(luò)釣魚(yú)電子郵件的標(biāo)題顯示,攻擊者再次使用SEPA作為惡意活動(dòng)的掩護(hù),使用SEPA Europe作為郵件的發(fā)件人。
目前還不清楚Intel471何時(shí)收到網(wǎng)絡(luò)釣魚(yú)郵件,但兩周前羅馬尼亞情報(bào)局(SRI)宣布它已經(jīng)掌握了針對(duì)羅馬尼亞金融機(jī)構(gòu)的網(wǎng)絡(luò)攻擊的可靠信息。
根據(jù)來(lái)文,這些事件發(fā)生在6月到8月之間,這個(gè)時(shí)間框架與兩家公司研究人員發(fā)現(xiàn)的活動(dòng)重疊。
具有信息數(shù)據(jù)分析顯示,黑客使用的攻擊工具包括Cobalt Strike,這是一種用于滲透測(cè)試的軟件。各種安保公司的大量報(bào)告證實(shí)了這一點(diǎn),該報(bào)告審查了該集團(tuán)的活動(dòng)。
網(wǎng)絡(luò)釣魚(yú)就是這樣開(kāi)始的:
區(qū)塊鏈安全公司W(wǎng)F曲速未來(lái)提醒:魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)是攻擊的初始階段,該組織試圖在銀行的數(shù)字基礎(chǔ)設(shè)施中獲得立足點(diǎn)。Cobalt小組的后續(xù)活動(dòng)通常包括偵察和在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)。
在他們了解目標(biāo)如何運(yùn)作并獲得與高級(jí)員工相同的訪問(wèn)權(quán)限之后,黑客可以執(zhí)行匯款,命令A(yù)TM,以及從支付網(wǎng)關(guān)和SWIFT系統(tǒng)竊取資金。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為T(mén)MT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
