网络钓鱼电子邮件使用类似于金融组织的域名

在本月观察到的新的鱼叉式网络钓鱼活动中,Cobalt黑客组织针对俄罗斯和罗马尼亚的银行,其电子邮件包含指向两个不同命令和控制服务器的两个有效负载。

Cobalt是一个网络犯罪团伙,至少在2016年开始运营,专门针对金融机构。根据欧洲刑警组织的数据,该组织与全球至少100家银行的网络攻击有关,从中偷走了大约10亿欧元。

虽然据称这名头目已于 今年在西班牙被捕,并且有三名据信是黑客组成员的人 在本月初受到指控,但该组仍在继续运作。

网络钓鱼电子邮件使用类似于金融组织的域

Arbor Networks ASERT团队于8月13日发现了一个带有Cobalt签名的新广告系列。目标是俄罗斯的NS银行。ASERT的威胁情报合作伙伴Intel471发现了针对罗马尼亚Carpatica Commercial Bank / Patria Bank的另一项活动。

发送给受害者的电子邮件据称来自与金融业有关的其他机构,这是一种旨在增加在附件中发布武器化文件的信心的策略。

ASERT的研究人员检查了域名rietumu [。] me,它是一个连接到Cobalt活动的命令和控制(C2)服务器,并找到了一个电子邮件地址,导致他们在8月1日创建了五个新域,其中一个是inter -kassa []融为一体。

专家发现的其他领域,显然试图冒充金融机构是:

Interkassa是一家位于佐治亚州(该国)的合法支付处理系统,提供超过50种支付工具,用于多种货币的在线交易。

寻找与此域名相关的样本,ASERT为NS Bank员工发现了一个网络钓鱼邮件。与“规范”相反,它包含两个指向恶意文件的链接:一个链接到带有混淆VBA脚本的Word文档,另一个用于下载扩展名更改为JPG的二进制文件。

电子邮件提供两个武器化文件的链接

武器化的Office文件需要具有运行宏的权限才能执行VBA脚本。但是如果启用了宏,则会触发一个复杂的操作,最后下载并运行与后者链接到Cobalt组的功能非常相似的JavaScript后门。

在NS Bank的电子邮件中伪装成JPEG图像的可执行文件来自hxxp:// sepa-europa [。] eu,一个假装与单一欧元支付区域(SEPA)相关的域名,这是一个更容易跨境的计划在欧盟空间内付款。

“UPX解压缩,是一个可执行文件,而不是一个图像文件。样本中充斥着垃圾代码,在进行去混淆自身之前花费了CPU周期。解包例程涉及用另一个可执行文件覆盖自己的内存,”ASERT 解释道

在对这个二进制文件进行分析之后,研究人员确定它是CobInt / COOLPANTS的一种变体 - 在过去由Cobalt黑客操作的C2上发现的侦察后门

“在一封电子邮件中使用单独的感染点和两个独立的C2会使这个电子邮件变得特别。人们可以推测这会增加感染几率,”ASERT总结道。

罗马尼亚银行的鱼叉钓鱼员工

针对Carpatica商业银行的鱼叉式网络钓鱼活动现已与Patria Bank合并,提供的恶意软件共享相同的程序数据库,其中包含来自域名rietumul [。] me的样本,与Cobalt集团相关联。

网络钓鱼电子邮件的标题显示,攻击者再次使用SEPA作为恶意活动的掩护,使用SEPA Europe作为邮件的发件人。

目前还不清楚Intel471何时收到网络钓鱼邮件,但两周前罗马尼亚情报局(SRI)宣布 它已经掌握了针对罗马尼亚金融机构的网络攻击的可靠信息。

根据来文,这些事件发生在6月到8月之间,这个时间框架与两家公司研究人员发现的活动重叠。

SRI表示,其网络智能部门National Cyber​​int Center(CNC)的分析显示,黑客使用的攻击工具包括Cobalt Strike,这是一种用于渗透测试的软件。各种安保公司的大量报告证实了这一点,该报告审查了该集团的活动。

网络钓鱼就是这样开始的

鱼叉式网络钓鱼是攻击的初始阶段,该组织试图在银行的数字基础设施中获得立足点。Cobalt小组的后续活动通常包括侦察和在网络内横向移动。

在他们了解目标如何运作并获得与高级员工相同的访问权限后,黑客可以执行汇款,命令ATM,并从支付网关和SWIFT系统窃取资金。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/cobalt-hacking-group-tests-banks-in-russia-and-romania/

扫码关注云+社区

领取腾讯云代金券