Хакерская группировка Cobalt атаковала российские банки
Исследователи безопасности из компании Group-IB сообщили подробности о деятельности хакерской группировки Cobalt. Несмотря на арест лидера группировки в Испании в марте текущего года, оставшиеся члены продолжают свою деятельность. В частности, 23 и 28 мая 2018 года Cobalt снова провела серию атак на банки в России, странах СНГ и зарубежные финансовые организации.
В ходе вредоносной кампании 23 мая группировка рассылала фишинговые письма от имени крупного производителя антивирусов («Лаборатории Касперского»). Пользователи получили «жалобу» на английском языке о том, что с их компьютеров якобы зафиксирована активность, нарушающая существующее законодательство. Получателю предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на web-ресурсы получателя. Для скачивания письма необходимо было перейти по ссылке, что приводило к заражению компьютера сотрудника банка.
28 мая 2018 года зафиксирована новая вредоносная рассылка Cobalt. Письмо от имени Центрального Европейского банка с ящика v.constancio@ecb-europa[.]info было разослано по банкам. В письме содержится ссылка на документ 67972318.doc, якобы описывающий финансовые риски.
Файл 67972318.doc представлял собой вредоносный документ Word, эксплуатирующий уязвимость CVE-2017-11882. В результате открытия файла и успешной эксплуатации уязвимости происходило заражение и первичное «закрепление» вредоносной программы в системе банка с помощью уникального загрузчика JS-backdoor, являющегося уникальной разработкой Cobalt.
«Cobalt по-прежнему активен: участники группы не прекращают атаковать финансовые и другие организации во всем мире. Я убежден в том, что коллаборация Cobalt и Anunak, позволившая установить своего рода анти-рекорды этим группам в части реализации наиболее сложных атак, завершившихся выводом сотен миллионов долларов, еще не исчерпала себя», - отметил исследователь Дмитрий Волков.