该公司在调查和预防网络犯罪集团-IB的领域宣布被黑客钴组,成为目标,包括领先的俄罗斯和独联体国家的银行和外资金融机构新的群众攻击。正如Group-IB的信息所述,这些攻击发生在5月23日和28日的钓鱼电子邮件的帮助下。
在IB集团没有指定TASS,哪些银行正在谈论。与此同时,塔斯社解释说,Cobalt经常使用邮件列表,世界各地至少有86个不同的组.织。该公司表示,该清单包括几乎遍布全球的银行,保险公司,媒体,租赁公司,建筑公司,互联网提供商,法律事务所,独联体国家,美国,欧洲和亚洲的集成商。从这个列表中,攻击者根据攻击的目的形成“订阅”,大约一半的基础落在俄罗斯。但事实上,被攻击组.织的名单可能更广泛,最有可能的是。
“Fintsert”俄罗斯银行及时向信用组.织通报了这些钓鱼邮件,“-评论了中央银行新闻服务的情况。
第一波
钓鱼邮件钴第一波在13:21MSK被记录了5月23日在(后近5个月的沉寂在本组中俄罗斯的攻击-在俄罗斯联邦的最新攻击钴是在2017年12月)。“对于钴实践网络钓鱼邮件在第一时间分别代表各大杀毒厂商,派出”-在集团-IB告诉记者,补充说,邮件是kaspersky-corporate.com域。此域名未在卡巴斯基实验室注册:正如Group-IB所述,此域名“显示与之前注册过Cobalt攻击域名的用户的直接链接”。
据Group-IB称,黑客用英语向这个域名的用户发出“投诉”,据称涉嫌违反现行法律的活动被发现。“如果答案没有在48小时内到达,”防病毒公司“就威胁要对收件人的网站资源实施处罚,”专家解释说。要下载这封信,用户必须去链接,这会导致银行的计算机员工感染。
卡巴斯基实验室证实TASS上周有一个钓鱼电子邮件实际上已注册,并向用户发送通知。“该公司解释说,同时”“在这一点上域从哪个蔓延分布,阻止最初检测到恶意软件和安全解决方案阻止”卡巴斯基实验室卡巴斯基实验室“指出,在这种情况下,以知名品牌的参考-一个非常普遍的实践“。通常,虚假的信件和虚假的网站都会重复这些设计,以误导不注意的用户:文件名,服务器控制可以被屏蔽检测等。”,-增加的公司。
第二波
Cobalt的第二次大规模恶意分发是在五天之后记录的-在5月28日莫斯科时间13:00左右,IB集团指出。这一次,袭击者试图伪装成中欧银行。该信中提到了一份文件,其中涉及.doc,据称其中载有金融风险的描述。实际上,这个Word文档利用了CVE-2017-11882的漏洞。“由于利用这个漏洞的成功利用发生感染的开一次的结果”固定“通过一个独特的装载机JS-借壳在银行系统的恶意软件,一个独特的发展钴”,-该报告说。
IB集团认为,这些网络攻击的受害者不仅可以是俄罗斯和独联体的银行,因为这两封信都是英文的。专家评估钓鱼邮件的质量一直很高。“举个例子,在一次进攻中英文文本程式化5月23日,”法律投诉“和假冒网站也有较高的质量水平,这不是典型的钴。这些和其他特征再次指出,剩余的空闲的概率与其他犯罪集团,特别是Anunak联合行动的钴集团成员,“报告说。
“我们相信,合作钴和Anunak,允许你设置某种这些群体的执行,导致数亿美元的退出最复杂的攻击方面,目前还没有走完。为了使市场的企业和监管机构采取针对的预防措施这些罪犯的行动,我们发布技术指标,以防止网络钓鱼,以确定基础设施和方法仍然使用这些罪犯,“-说的CTO集团-IB德米特里·沃尔科夫。
关于黑客组Cobalt
Cobalt集团-世界上最具攻击性的讲俄语的黑客团体之一,自2013年起生效。据这个人r,所有的时间钴绑架€超过十亿,这是只有在欧洲银行的攻击者,我们试图收回2500万€在研究组-IB指出的事件之一。受害者团体钴钢金融机构在全球40多个国家,其中包括-俄罗斯,英国,荷兰,西班牙等国的钴的带领者在西班牙本年三月被逮捕,但尽管这样的集团一直保持其活性,根据集团-IB。
Cobalt最引人注目的特征之一是使用银行间转账系统SWIFT的盗窃案。第一批这样的盗窃黑客在2016年春季在香港银行,然后在乌克兰。他们还通过SWIFT在国内银行业历史上组.织了第一次攻击-它发生在2017年12月在一家俄罗斯银行。