______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Раскрыты подробности деятельности кибергруппировки Cobalt

Российская киберпреступная группировка Cobalt (она же FIN7 и Carbanak) вернулась к использованию вредоносного ПО CobInt, показаланализнедавних атак, зафиксированных экспертами компании Proofpoint.

Группировка известна своими атаками на финучреждения по всему миру, однако в сферу ее интересов также входят правительственные организации, телеком/интернет-провайдеры, поставщики услуг, производственные предприятия и компании в развлекательной сфере и области здравоохранения.

С июля текущего года группировка использовала многоэтапное вредоносное ПО CobInt во всех своих операциях, осуществляемых с помощью вредоносных документов Microsoft Office, содержащих эксплоит ThreadKit. Злоумышленники эксплуатируют ряд уязвимостей в Office, в частностиCVE-2017-8570,CVE-2017-11882иCVE-2018-0802.

Со 2 августа по 4 сентября 2018 года исследователи зафиксировали четыре атаки с использованием CobInt. Вредонос представляет собой написанный на языке С загрузчик, который может быть разбит на три этапа: первоначальный загрузчик, загружающий основной компонент, собственно основной компонент и дополнительные вредоносные модули. Цель первой стадии — загрузить основной компонент (загружается в форме DLL-библиотеки), который, в свою очередь, загружает с управляющего сервера и запускает различные дополнительные модули. Один из них отправляет на сервер скриншоты, второй — список работающих процессов. Коммуникация с C&C-сервером осуществляется по HTTPS.

«CobInt — дополнительное свидетельство того, что злоумышленники все чаще обращаются к скрытым загрузчикам для первичного заражения системы и только потом устанавливают дополнительное вредоносное ПО на целевые системы. По мере того, как защита становится совершеннее, киберпреступники должны использовать инновационные решения, чтобы увеличить возврат инвестиций во вредоносное ПО и векторы заражения», — отметили специалисты.

Напомним, в августе нынешнего года Cobalt провела ряд фишинговых кампаний, направленных на российский НС Банк и румынский банк Carpatica Commercial Bank /Patria Bank.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх