Byte/RE ИТ-издание

Совместные атаки групп Cobalt и Anunak

Компания Group-IB обнародовала новый отчет о преступлениях хакерской группы Cobalt, направленных против банков и других организаций во всем мире. Последние на момент публикации отчета целевые атаки группы прошли 23 и 28 мая, их целями стали банки в России, странах СНГ и предположительно зарубежные финансовые организации.

По данным Европола хакеры Cobalt похитили свыше 1 млрд евро. Согласно исследованию Group-IB, только в одном из инцидентов в европейском банке Cobalt попытались вывести 25 млн евро.

В новом отчете «Cobalt: эволюция и совместные операции» эксперты Threat Intelligence Group-IB впервые приводят уникальные доказательства связи Cobalt и группы Anunak (Carbanak), анализируют их совместные атаки и используемые инструменты для взлома систем SWIFT, карточного процессинга, платежных шлюзов. Предположительно в новой майской атаке группы также действовали вместе.

23 мая эксперты Threat Intelligence зафиксировали новую масштабную кибератаку группы Cobalt на банки России и СНГ (этому не помешал арест лидера группы в Испании, о чем стало известно 26 марта этого года). Первая волна фишинговой рассылки прошла 23 мая, и впервые в практике Cobalt фишинговые письма были отправлены от имени крупного антивирусного вендора. Пользователь получил «жалобу» на английском языке о том, что с его компьютера якобы зафиксирована активность, нарушающая законодательство. Получателю предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на web-ресурсы получателя. Для того, чтобы скачать письмо, необходимо было перейти по ссылке, что привело бы к заражению компьютера сотрудника банка.

В атаке была задействована уникальная троянская программа Coblnt, использовавшаяся группой с декабря 2017 г., что позволило экспертам провести атрибуцию и подтвердить, что рассылка – дело рук Cobalt. Почтовая рассылка шла с домена kaspersky-corporate.com, который показал прямую связь с лицом, на которое были ранее зарегистрированы домены для атак Cobalt.

28 мая была зафиксирована еще одна вредоносная рассылка Cobalt: письмо от имени Центрального Европейского банка с ящика v.constancio@ecb-europa[.]info было разослано по банкам. В письме содержится ссылка на документ 67972318.doc, якобы описывающий финансовые риски. Файл представляет собой документ Word, эксплуатирующий уязвимость CVE-2017-11882. В результате открытия эксплойта и эксплуатации уязвимости происходит заражение и первичное «закрепление» вредоносной программы в системе банка с помощью загрузчика JS-backdoor, уникальной разработки Cobalt.

В Group-IB допускают, что жертвами этих кибератак могли быть не только банки России и СНГ: оба письма составлены на английском языке. Качество фишинговых писем эксперты компании снова оценивают как высокое. Например, в атаке 23 мая текст на английском языке стилизован под «юридическую жалобу», а поддельный сайт kaspersky-corporate.com также отличался более высоким уровнем качества, что не характерно для Cobalt. Эти и другие признаки вновь указывали на вероятность проведения оставшимися на свободе членами группы Cobalt совместной операции с другими преступными группами, в частности Anunak. В Group-IB убеждены, что коллаборация Cobalt и Anunak, позволившая этим группам установить своего рода анти-рекорды в части реализации наиболее сложных атак, завершившихся выводом сотен миллионов долларов, еще не исчерпала себя.

Вам также могут понравиться