俄罗斯网络安全公司Group-IB在本周二(5月29日)发布的一份题为《Cobalt: their evolution and joint operations》的分析报告中指出,尽管涉嫌利用恶意软件Carbanak和Cobalt从全球100多家金融机构盗走超过10亿欧元的Cobalt黑客组织的领导人已于今年3月份被捕,但最新的攻击活动证实,该组织并没有因此解散并仍处于活跃状态。
报告指出,Group-IB公司在5月23日和28日检测到了两起针对俄罗斯和独联体国家银行的网络钓鱼活动。对鱼叉式钓鱼电子邮件内容的分析表明,这两起活动都与Cobalt存在关联,并且西方金融组织也可能成为攻击目标。不仅如此,Group-IB公司还认为,在最近的活动中,Cobalt还与另一个黑客组织Anunak进行了联合行动。
在5月23日被监测到的网络钓鱼活动中,电子邮件内容伪装成虚假的卡巴斯基安全警报,指出收件人计算机记录的活动违反了现行法规,要求收件人阅读附件并提交详细的解释。如果在48小时内未收到回复,卡巴斯基公司将对收件人的网络资源实施制裁。
想要下载电子邮件中提到的附件,需要点击一个链接。我们很容易想到,如果按照电子邮件所描述的内容进行操作必然会导致计算机感染恶意软件。事实的确如此,这个链接会导致一种命名为“Coblnt”的木马病毒被下载。
Group-IB表示,之所以将这起活动与Cobalt联系起来,是因为电子邮件是从一个名为kaspersky-corporate[.]com的域名发送的。经审查后发现,注册该域名的用户名与之前由Coblnt发起的其他攻击活动中用于注册域名的用户名完全相同。
在5月28日,Group-IB公司监测到了另一起由Cobalt发起的网络钓鱼活动。电子邮件由名为v.constancio@ecb-europa [.] info的域名发出,声称来自欧洲中央银行(European Central Bank)并发送给金融机构。电子邮件正文中包含一个指向文件“67972318.doc”的链接,它被描述为财务风险文件。
分析表明,这个 Word诱饵文档会触发Office远程代码执行漏洞(CVE-2017-11882)的利用。恶意软件会感染银行系统,并使用由Cobalt开发的自定义加载程序JS-backdoor建立初始持久性。
欧洲刑警组织(Europol)认为,Cobalt与超过10亿欧元的银行盗窃案有关,并自2013年以来就试图利用其设计的恶意软件(即Carbanak和Cobalt)攻击银行、电子支付系统和金融机构。为了防止被追踪,该组织还将窃取到的资金全都兑换成了比特币,并用于购买豪华汽车、房产以及其他商品。
3月26日,在欧洲刑警组织、美国联邦调查局、罗马尼亚、白俄罗斯和中国台湾相关部门以及一些私营网络安全公司的协助下,该组织的领导人最终在西班牙阿利坎特由西班牙国家警察局成功抓捕归案。
Group-IB公司负责人Dmitry Volkov评论说,虽然西班牙国家警察局的抓捕行动的确打乱了Cobalt的业务,但事实证明即使在已经失去领导人的情况下,其剩余成员仍会继续针对全球金融机构和相关组织发起攻击。