Positive Technologies 揭示:今年早些時候將行動擴張至美國后,金錢驅動的“Cobalt”網(wǎng)絡犯罪團伙改變了戰(zhàn)術,如今采用供應鏈攻擊對公司企業(yè)的合作伙伴下手。
Cobalt
在2016年被發(fā)現(xiàn),目前全球范圍內(nèi)活躍,可快速應對銀行的保護措施,其對公司員工基礎設施和賬戶的惡意使用就是明證。研究人員稱,為誘騙接受者打開來自非法域名的網(wǎng)絡釣魚郵件,該團伙還會使用安全監(jiān)管機構的名號。
該組織的目標是銀行、金融交易所、保險公司、投資基金和其他金融機構。攻擊者將網(wǎng)絡釣魚消息偽裝成來自金融監(jiān)管者的郵件,并運用多種格式的惡意附件誘騙目標上當,包括惡意文檔或打包進可執(zhí)行文件/快捷方式文件的ZIP壓縮包。
這伙黑客是最先使用微軟 Word Intruder 8 漏洞利用生成器最新版本的一群人,今年4月才被修復的 CVE-2017-0199 漏洞也在他們的利用列表中。該團伙還濫用防護不良的公開網(wǎng)站投送惡意文件到受害者電腦,向公司企業(yè)和目標雇員的個人郵件地址投遞網(wǎng)絡釣魚郵件。
去年,該組織針對東歐、中亞和東南亞的金融機構下手,但今年,目標列表擴張到了北美、西歐甚至南美(阿根廷)。
75%的目標公司身處金融行業(yè),其中90%是銀行。但該團伙同樣瞄上了金融交易所、投資基金、貸款機構,且研究人員稱,這表明很快將有一波攻擊針對資金流動量大的各類公司。
除了金融機構,這伙黑客還針對政府、電信/互聯(lián)網(wǎng)、服務提供商、制造業(yè)、娛樂行業(yè)和醫(yī)療保健公司。“Cobalt攻擊政府機構和部門,把他們當成通往其他目標的墊腳石。”
Cobalt攻擊的技術方面只是少數(shù)幾個人負責。這一技術團隊似乎還承擔了注冊惡意域名和發(fā)送網(wǎng)絡釣魚郵件的責任。
研究人員稱,
惡意郵件通常包含一份惡意附件,要么從遠程服務器上獲取惡意程序釋放器,要么附件本身就是含有釋放器的密碼保護壓縮文檔。釋放器落地后會執(zhí)行Beacon木馬(與FIN7/Carbanak黑客組織有關)。
通過偽造發(fā)家信息,該團伙向與銀行有合作的特定公司投遞網(wǎng)絡釣魚郵件,攻克合作公司后,便開始利用真實雇員的被黑賬戶和郵件服務器,從這些合作公司的基礎設施發(fā)送網(wǎng)絡釣魚消息。因此,最終的接受者有很大可能性信任發(fā)家,也就增加了感染的成功率。
“
攻擊者小心選擇會被仔細審查的主題欄、收件人地址和附件名稱,讓接受者打開那些包藏了釣魚信息的附件。
Cobalt網(wǎng)絡釣魚郵件中,60%都與銀行及其合作伙伴間的合作及服務條款有關。安全焦慮也是該組織會采用的一種攻擊方法,他們會注冊非法域名,冒充VISA、MasterCard、俄羅斯央行的FinCERT部門,還有哈薩克斯坦的國家銀行等機構發(fā)送消息。
安全研究人員認為,該組織用來向萬千接受者發(fā)送郵件的自動化工具是 alexusMailer v2.0,一款免費PHP腳本,具備匿名性,提供多線程發(fā)送支持。
該組織還使用流傳甚廣的公開郵件服務,以及可以匿名注冊臨時地址的服務。
該組織慣于在一周開始的時候注冊域名,然后準備黑客工具,再在周末專注利用被黑公司的基礎設施發(fā)出郵件開展攻擊。從域名被注冊,到正式應用在攻擊行動的平均時間是4天。
“
因為網(wǎng)絡釣魚郵件是在工作時段發(fā)送的,域名就往往是在下午6點到午夜12點之間,這也符合歐洲國家工作日的習慣。
研究人員還搶在攻擊開始前,就發(fā)現(xiàn)并封鎖了新注冊的Cobalt網(wǎng)絡釣魚域名,并與俄羅斯和其他國家的行業(yè)監(jiān)管機構合作,阻斷了所有.ru域名及與該組織相關的其他頂層域名的代理。
“
Cobalt組織在2017年造成的損失尚未有確切數(shù)字報出。或許來自銀行監(jiān)管機構的警告抵銷了部分該組織的釣魚效果。從Cobalt遍及全球的行動范圍判斷,銀行損失數(shù)百萬美元是極有可能的。如果對金融交易所的攻擊成功執(zhí)行,那就不僅僅是各公司的直接損失,還要加上對世界貨幣市場的匯率震蕩所造成的損失了。
分享到微信 ×
打開微信,點擊底部的“發(fā)現(xiàn)”,
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。