Хакерская группировка Cobalt, которая 21 ноября начала новую фишинговую атаку на банки с использованием уязвимости CVE-2017-11882 в Microsoft Office, случайно раскрыла полный список намеченных целей. Об этом сообщил Йонатан Клийнсма (Yonathan Klijnsma), исследователь по безопасности из компании RiskIQ.

Он обнаружил, что злоумышленники при рассылке вредоносных писем указали всех жертв в поле “To: (кому)”, вместо того чтобы добавить их в BCC (blind carbon copy) — скрытую копию. По словам специалиста, мошенники уже не в первый раз совершают подобную ошибку. Такой же промах они допустили и в мартовской атаке на финансовые учреждения Казахстана.

Это позволило предупредить потенциальных жертв. Анализ адресов электронной почты также позволил исследователям определить, что основной удар направлен на российские и турецкие банки. Однако среди целей оказались и финансовые институты восьми других стран — США, Нидерландов, Италии, Австрии, Украины, Иордании, Кувейта и Чешской Республики.

“Мы заметили, что в списке было много прямых адресов сотрудников, что придает письмам гораздо больше правдоподобности. Еще интереснее то, что большинство этих адресов злоумышленники нашли, просто погуглив базы электронной почты финансовых учреждений. Вероятнее всего, они находились в открытом доступе, и каких-либо дополнительных действий не потребовалось”, — сообщает Йонатан Клийнсма.

Вредоносное письмо якобы предоставляло информацию об изменениях в системе денежных переводов SWIFT и состояло из одного вложения без текста в теле. Прикрепленный RTF-файл содержал эксплойт CVE-2017-11882. Эту уязвимость в середине ноября обнаружили исследователи Embedi в модуле eqnedt32.exe для компонентов Microsoft Office, ответственных за вставку файлов и редактирование формул. Проблема с повреждением памяти позволяет злоумышленнику выполнить произвольный код без взаимодействия с пользователем. Microsoft закрыла уязвимость в ноябрьском патче, однако группа Cobalt все же успела ей воспользоваться.

Хакерская группировка Cobalt зачастую устраивает в сети банков контролируемую бот-сеть, работу которой очень сложно отследить и еще сложнее остановить. В июле 2016 года из более чем трех десятков терминалов тайваньского банка First Bank преступники похитили $2 миллиона. В августе 2017 года жертвами атак Cobalt стали около 250 компаний, в том числе банки, биржи, страховые компании, инвестфонды и другие организации.

Основные методы, которыми пользуются мошенники — это фишинговые сообщения, замаскированные под партнерские письма или финансовые рассылки, а также различные типы вредоносных вложений. С их помощью атакующие получают контроль над сетью, собирают реквизиты доступа к центральным серверам и пароли администраторов, а потом получают доступ к системам управления банкоматами.

Чтобы защитить систему от последней атаки злоумышленников, необходимо установить последние обновления Microsoft KB2553204, KB3162047, KB4011276 и KB4011262.

Категории: Хакеры