В текущем месяце эксперты Positive Technologies зафиксировали вредоносную рассылку, которую по некоторым признакам можно ассоциировать с криминальной группой Cobalt.

Группировка Cobalt, она же Carbanak, использует методы целевых атак, действуя в сфере финансов. Эта преступная группа примечательна тем, что грабит не клиентуру банков, а сами кредитно-финансовые организации.

По данным Positive Technologies, в 2016 году список мишеней Cobalt был ограничен странами СНГ, Восточной Европы и Юго-Восточной Азии. В прошлом году этот перечень пополнился компаниями из Северной Америки, Западной Европы и Аргентины. По оценке экспертов, за первую половину 2017 года злоумышленники разослали вредоносные письма на адреса более чем 3 тыс. служащих из 250 организаций в 13 странах.

В конце марта 2018 года в Испании по результатам трансграничного расследования был арестован предполагаемый главарь Cobalt. В Европоле этого гражданина Украины считают причастным к проведению атак против 100 финансовых организаций с причинением ущерба в размере свыше 1 млрд евро.

Вредоносная рассылка, зафиксированная в финансовом секторе в середине мая, была нацелена на загрузку JavaScript-бэкдора на машины атакуемых организаций. Этот зловред обладает богатой функциональностью: он умеет проводить разведку, запускать программы, загружать обновления, удалять свой код, обнаруживать антивирусы, шифровать трафик с помощью RC4. По свидетельству экспертов, таким же набором функций обладал бэкдор, которым участники Cobalt пользовались в 2017 году.

Более того, рассылка вредоносных писем проводилась с домена, по структуре идентичного тем, которые Cobalt задействовала в атаках на территории России и Восточной Европы. В майских письмах присутствовала ссылка на документ с эксплойтами к уязвимостям CVE-2017-8570, CVE 2017-11882 и CVE-2018-0802 в Microsoft Word. Анализ этого документа показал, что он, скорее всего, создан с помощью компоновщика Threadkit. Между тем группа Cobalt взяла этот инструмент на вооружение еще в феврале.

«На первом этапе атаки Cobalt полагается на социальную инженерию, — уточнил для Threatpost технический директор Positive Technologies Андрей Бершадский. — И на то есть веские причины: наша статистика показывает, что по ссылкам в фишинговых сообщениях кликают почти 30% получателей». Авторы целевых атак вовлекают служащих в переписку — даже безопасников (в 3% случаев). Если же письмо отправлено с адреса существующей компании, как это делает Cobalt, вероятность успеха повышается до 33%.

Далее атака развивается следующим образом. При отработке эксплойта происходит активация BAT-скрипта, который запускает стандартную утилиту Windows, позволяющую обходить AppLocker, а также загружать и исполнять объекты SCT или COM с помощью другой Windows-утилиты — regsvr32.exe. В итоге на машину жертвы из стороннего домена закачивается COM-DLL-Dropper, а затем целевой бэкдор.

Категории: Аналитика, Вредоносные программы, Спам, Уязвимости, Хакеры