Сфокусированная на финансовых целях преступная группа Cobalt начала новую киберкампанию, используя сразу две схемы заражения. Эксперты Arbor Networks, ИБ-подразделения компании NETSCOUT, выявили основные мишени текущих атак: российский банк «Национальный стандарт» и румынский Banca Comercială Carpatica (в прошлом году был объединен с Patria Bank).

Cobalt Group, она же Carbanak, уже несколько лет проводит сложные целевые атаки в разных странах. В марте главарь этой группировки был арестован, однако его сообщники быстро оправились от удара и через пару месяцев возобновили свою активность.

В данном случае злоумышленники, согласно Arbor, рассылают финансистам поддельные письма от имени сервис-провайдеров и других партнеров. Эти адресные сообщения содержат две вредоносные ссылки, по которым закачивается различная полезная нагрузка — зловред, управляемый с командного сервера. Исследователям удалось обнаружить оба C&C-сервера, оператором которых, по их мнению, являются члены Cobalt. «Содержимое этих сообщений в целом выглядит безобидно — кроме вставленной в письмо ссылки», — сказано в блоге Arbor.

 «Эти рассылки примечательны тем, что злоумышленники используют в одном письме раздельные точки заражения, с двумя разными C&C-серверами, — подчеркнули исследователи, комментируя находку для Threatpost. — Очевидно, что целью подобной тактики является дублирование. Если намеченная жертва не пройдет по одной ссылке, по другой она может и кликнуть. Мы такого еще не видели у этой группы, однако использование нескольких способов компрометации — обычное дело в среде киберкриминала».

 Полезная нагрузка

По одной из вредоносных ссылок в этих письмах загружается документ Word с обфусцированным скриптом VBA (его запуск требует активации макроконтента), по другой — файл в формате jpg, содержащий бэкдор CobInt/COOLPANTS.

«VBA-скрипт воссоздает команду cmd.exe, которая запускает cmstp.exe, задавая файл INF, что потенциально позволяет обойти AppLocker, — пишут исследователи. — Далее файл INF сигналит на download.outlook-368[.]com для закачивания полезной нагрузки, которую cmstp.exe запустит на исполнение». Загружаемый с download.outlook-368[.]com файл XML содержит дроппер JavaScript-бэкдора, известного в ИБ-сообществе как more_eggs. Группировка Cobalt оперировала этим зловредом и ранее; он предположительно используется для закачивания дополнительной полезной нагрузки.

Изображение, загружаемое по второй ссылке (hxxp://sepaeuropa[.]eu/transactions/id02082018.jpg), на самом деле является исполняемым файлом. Его запуск приводит к установке бэкдора, используемого для разведки. Этот зловред тоже связывается со своим центром управления, чтобы закачать дополнительные скрипты или модули.

Развертывание бэкдоров свидетельствует о том, что злоумышленники стремятся закрепиться в сетях целевых организаций, однако конечная цель этих атак пока не ясна.

Категории: Аналитика, Вредоносные программы, Хакеры