Group-IB, международная компания, специализирующаяся на предотвращении кибератак и разработке продуктов для информационной безопасности, обнародовала новый отчет, раскрывающий преступления хакерской группы Cobalt в отношении банков и других организаций во всем мире. Последние на данный момент целевые атаки группы были проведены 23 и 28 мая. Их целями стали банки в России, странах СНГ и, предположительно, зарубежные финансовые организации. Фишинговые письма, используемые Cobalt 23 мая, рассылались от имени крупного антивирусного вендора, пишет vestifinance.ru.
По данным Европола, хакеры Cobalt похитили свыше 1 млрд евро. Согласно исследованию Group-IB только в одном из инцидентов в европейском банке Cobalt попытались вывести 25 млн евро. В новом отчете эксперты Threat Intelligence Group-IB приводят доказательства связи Cobalt и группы Anunak (Carbanak). Предположительно, в новой майской атаке группы также действовали вместе.
23 мая эксперты Threat Intelligence зафиксировали новую масштабную кибератаку хакерской группы Cobalt на ведущие банки России и СНГ. Несмотря на арест лидера группы в Испании, о чем стало известно 26 марта этого года, оставшиеся члены группы вновь проверили на прочность защиту финансовых учреждений. Примечательно, что последние атаки в России были 5 месяцев назад, в декабре 2017 года.
Первая волна фишинговой рассылки была 23 мая. Впервые в практике Cobalt фишинговые письма были отправлены от имени крупного антивирусного вендора. Пользователь получил «жалобу» на английском языке о том, что с его компьютера якобы зафиксирована активность, нарушающая существующее законодательство. Получателю предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на web-ресурсы получателя. Для того чтобы скачать письмо, необходимо было перейти по ссылке, что привело бы к заражению компьютера сотрудника банка.
В атаке была задействована уникальная троянская программа Coblnt, использовавшаяся группой с декабря 2017 года. Почтовая рассылка шла с домена kaspersky-corporate.com, который показал прямую связь с лицом, на которое были ранее зарегистрированы домены для атак Cobalt.
28 мая зафиксирована свежая вредоносная рассылка Cobalt. Письмо от имени Европейского центрального банка с ящика v. constancio@ecb-europa[.]info было разослано по банкам. В письме содержится ссылка на документ 67 972 318.doc, якобы описывающий финансовые риски. В результате открытия эксплоита произойдет заражение и первичное «закрепление» вредоносной программы в системе банка с помощью уникального загрузчика JS-backdoor, уникальной разработки Cobalt.
В Group-IB не исключают, что жертвами этих кибератак могли быть не только банки России и СНГ: оба письма составлены на английском языке, что говорит о возможных целях в иностранных банках. Снова качество фишинговых писем оценивается экспертами компании как высокое. Например, в атаке 23 мая текст на английском языке стилизован под «юридическую жалобу», а поддельный сайт kaspersky-corporate.com также отличался более высоким уровнем качества, что нехарактерно для Cobalt. Эти и другие признаки вновь указывали на вероятность проведения оставшимися на свободе членами группа Cobalt совместной операции с другими преступными группами, в частности Anunak. Детальная информация с техническими индикаторами «работы» групп приводится в отчете «Cobalt: эволюция и совместные операции».
«Cobalt по-прежнему активен: участники группы не прекращают атаковать финансовые и другие организации во всем мире, — комментирует Дмитрий Волков, CTO Group-IB. — Мы убеждены в том, что коллаборация Cobalt и Anunak, позволившая установить своего рода антирекорды этим группам в части реализации наиболее сложных атак, завершившихся выводом сотен миллионов долларов, еще не исчерпала себя. Для того чтобы дать возможность бизнесу и регуляторам рынка принять превентивные меры против действий этих преступников, мы публикуем технические индикаторы для защиты от фишинга, для идентификации инфраструктуры и методов, до сих пор используемых этими преступниками».