Group-IB：即使領導者被捕 Cobalt黑客組織仍在活躍

「用指尖改變世界」

俄羅斯網路安全公司Group-IB在本周二（5月29日）發布的一份題為《Cobalt: their evolution and joint operations》的分析報告中指出，儘管涉嫌利用惡意軟體Carbanak和Cobalt從全球100多家金融機構盜走超過10億歐元的Cobalt黑客組織的領導人已於今年3月份被捕，但最新的攻擊活動證實，該組織並沒有因此解散並仍處於活躍狀態。

報告指出，Group-IB公司在5月23日和28日檢測到了兩起針對俄羅斯和獨聯體國家銀行的網路釣魚活動。對魚叉式釣魚電子郵件內容的分析表明，這兩起活動都與Cobalt存在關聯，並且西方金融組織也可能成為攻擊目標。不僅如此，Group-IB公司還認為，在最近的活動中，Cobalt還與另一個黑客組織Anunak進行了聯合行動。

在5月23日被監測到的網路釣魚活動中，電子郵件內容偽裝成虛假的卡巴斯基安全警報，指出收件人計算機記錄的活動違反了現行法規，要求收件人閱讀附件並提交詳細的解釋。如果在48小時內未收到回復，卡巴斯基公司將對收件人的網路資源實施制裁。

想要下載電子郵件中提到的附件，需要點擊一個鏈接。我們很容易想到，如果按照電子郵件所描述的內容進行操作必然會導致計算機感染惡意軟體。事實的確如此，這個鏈接會導致一種命名為「Coblnt」的木馬病毒被下載。

Group-IB表示，之所以將這起活動與Cobalt聯繫起來，是因為電子郵件是從一個名為kaspersky-corporate[.]com的域名發送的。經審查後發現，註冊該域名的用戶名與之前由Coblnt發起的其他攻擊活動中用於註冊域名的用戶名完全相同。

在5月28日，Group-IB公司監測到了另一起由Cobalt發起的網路釣魚活動。電子郵件由名為v.constancio@ecb-europa [.] info的域名發出，聲稱來自歐洲中央銀行（European Central Bank）並發送給金融機構。電子郵件正文中包含一個指向文件「67972318.doc」的鏈接，它被描述為財務風險文件。

分析表明，這個 Word誘餌文檔會觸發Office遠程代碼執行漏洞（CVE-2017-11882）的利用。惡意軟體會感染銀行系統，並使用由Cobalt開發的自定義載入程序JS-backdoor建立初始持久性。

歐洲刑警組織（Europol）認為，Cobalt與超過10億歐元的銀行盜竊案有關，並自2013年以來就試圖利用其設計的惡意軟體（即Carbanak和Cobalt）攻擊銀行、電子支付系統和金融機構。為了防止被追蹤，該組織還將竊取到的資金全都兌換成了比特幣，並用於購買豪華汽車、房產以及其他商品。

3月26日，在歐洲刑警組織、美國聯邦調查局、羅馬尼亞、白俄羅斯和中國台灣相關部門以及一些私營網路安全公司的協助下，該組織的領導人最終在西班牙阿利坎特由西班牙國家警察局成功抓捕歸案。

Group-IB公司負責人Dmitry Volkov評論說，雖然西班牙國家警察局的抓捕行動的確打亂了Cobalt的業務，但事實證明即使在已經失去領導人的情況下，其剩餘成員仍會繼續針對全球金融機構和相關組織發起攻擊。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！