BI.ZONE об атаках с применением Cobalt Strike
По сообщению компании BI.ZONE, специалисты ее управления киберразведки обнаружили масштабные атаки группировки Lone Wolf, нацеленные на российские логистические, производственные, финансовые организации и компании из сферы розничной торговли.
Злоумышленники реализовали с 21 по 28 июля как минимум четыре массовые фишинговые рассылки. Письма отправлялись по базам корпоративных электронных адресов якобы от имени АО «ТАИФ-НК», ДЦ «Автосалон 152», «Русагро-Приморье» и УФАС России по Магаданской области. В трех рассылках преступники уведомляют получателя о досудебной претензии и требуют в короткий срок погасить задолженность по договору, включая пени за просроченную оплату. В противном случае злоумышленники угрожают обратиться с исковым заявлением в арбитражный суд. Все документы, свидетельствующие о задолженности, прилагаются к письму. В четвертой рассылке – якобы от Магаданского УФАС России – содержится копия постановления без дополнительных разъяснений.
В выявленных рассылках файлы назывались Досудебное.doc, пп-ас32-4783.doc, акт.xls. При открытии любого из них на устройстве запускается цепочка команд, в результате чего злоумышленники загружают ПО Cobalt Strike Beacon, компонент известного решения Cobalt Strike. Это коммерческий инструмент, который специалисты по тестированию на проникновение используют, чтобы эмулировать действия атакующих. В зависимости от целей атакующих запуск Cobalt Strike может привести к краже чувствительных данных или их шифрованию, а в ряде случаев – к похищению денег со счетов организации.
Как поясняют в BI.ZONE, такие инструменты, как Cobalt Strike, уже довольно давно популярны у различных группировок. Они открывают широкие возможности для достижения цели атаки с использованием минимума дополнительных вредоносных инструментов или позволяют отказаться от них вовсе. Более того, часто Cobalt Strike применяется в компаниях в легитимных целях, что заметно снижает скорость обнаружения его подозрительной активности.