Positive Technologies 揭示:今年早些时候将行动扩张至美国后,金钱驱动的“Cobalt”网络犯罪团伙改变了战术,如今采用供应链攻击对公司企业的合作伙伴下手。
Cobalt在2016年被发现,目前全球范围内活跃,可快速应对银行的保护措施,其对公司员工基础设施和账户的恶意使用就是明证。研究人员称,为诱骗接受者打开来自非法域名的网络钓鱼邮件,该团伙还会使用安全监管机构的名号。
该组织的目标是银行、金融交易所、保险公司、投资基金和其他金融机构。攻击者将网络钓鱼消息伪装成来自金融监管者的邮件,并运用多种格式的恶意附件诱骗目标上当,包括恶意文档或打包进可执行文件/快捷方式文件的ZIP压缩包。
这伙黑客是最先使用微软 Word Intruder 8 漏洞利用生成器最新版本的一群人,今年4月才被修复的 CVE-2017-0199 漏洞也在他们的利用列表中。该团伙还滥用防护不良的公开网站投送恶意文件到受害者电脑,向公司企业和目标雇员的个人邮件地址投递网络钓鱼邮件。
去年,该组织针对东欧、中亚和东南亚的金融机构下手,但今年,目标列表扩张到了北美、西欧甚至南美(阿根廷)。
75%的目标公司身处金融行业,其中90%是银行。但该团伙同样瞄上了金融交易所、投资基金、贷款机构,且研究人员称,这表明很快将有一波攻击针对资金流动量大的各类公司。
除了金融机构,这伙黑客还针对政府、电信/互联网、服务提供商、制造业、娱乐行业和医疗保健公司。“Cobalt攻击政府机构和部门,把他们当成通往其他目标的垫脚石。”
研究人员称,Cobalt攻击的技术方面只是少数几个人负责。这一技术团队似乎还承担了注册恶意域名和发送网络钓鱼邮件的责任。
恶意邮件通常包含一份恶意附件,要么从远程服务器上获取恶意程序释放器,要么附件本身就是含有释放器的密码保护压缩文档。释放器落地后会执行Beacon木马(与FIN7/Carbanak黑客组织有关)。
通过伪造发家信息,该团伙向与银行有合作的特定公司投递网络钓鱼邮件,攻克合作公司后,便开始利用真实雇员的被黑账户和邮件服务器,从这些合作公司的基础设施发送网络钓鱼消息。因此,最终的接受者有很大可能性信任发家,也就增加了感染的成功率。
攻击者小心选择会被仔细审查的主题栏、收件人地址和附件名称,让接受者打开那些包藏了钓鱼信息的附件。
Cobalt网络钓鱼邮件中,60%都与银行及其合作伙伴间的合作及服务条款有关。安全焦虑也是该组织会采用的一种攻击方法,他们会注册非法域名,冒充VISA、MasterCard、俄罗斯央行的FinCERT部门,还有哈萨克斯坦的国家银行等机构发送消息。
安全研究人员认为,该组织用来向万千接受者发送邮件的自动化工具是 alexusMailer v2.0,一款免费PHP脚本,具备匿名性,提供多线程发送支持。
该组织还使用流传甚广的公开邮件服务,以及可以匿名注册临时地址的服务。
该组织惯于在一周开始的时候注册域名,然后准备黑客工具,再在周末专注利用被黑公司的基础设施发出邮件开展攻击。从域名被注册,到正式应用在攻击行动的平均时间是4天。
因为网络钓鱼邮件是在工作时段发送的,域名就往往是在下午6点到午夜12点之间,这也符合欧洲国家工作日的习惯。
研究人员还抢在攻击开始前,就发现并封锁了新注册的Cobalt网络钓鱼域名,并与俄罗斯和其他国家的行业监管机构合作,阻断了所有.ru域名及与该组织相关的其他顶层域名的代理。
Cobalt组织在2017年造成的损失尚未有确切数字报出。或许来自银行监管机构的警告抵销了部分该组织的钓鱼效果。从Cobalt遍及全球的行动范围判断,银行损失数百万美元是极有可能的。如果对金融交易所的攻击成功执行,那就不仅仅是各公司的直接损失,还要加上对世界货币市场的汇率震荡所造成的损失了。