В марте 2018 года испанская полиция арестовала членов организованной преступной группы Cobalt, похитивших $1,24 млрд. В течение пяти лет хакеры с помощью эксплойта Cobalt Strike получали доступ к системам безопасности банков, после чего снимали наличку в скомпрометированных банкоматах. Казалось, что после этого ареста с Кобальтом покончено навсегда. Но, как оказалось, нет: свято место пусто не бывает.
Представители Group-IB, компании, специализирующейся на расследовании и предотвращении киберпреступлений, сообщили о новых атаках хакеров из Cobalt. В результате рассылок фишинговых писем 23 и 28 мая от атак группировки пострадало несколько крупных банков России, СНГ и другие зарубежные финансовые организации.
Названия пострадавших банков и организаций не указываются, но в Group-IB сообщили, что в базе рассылки Cobalt присутствуют как минимум 86 различных организаций по всему миру — банки, страховые компании, СМИ, лизинговые компании, строительные компании, интернет-провайдеры, юридические конторы СНГ, США, Европы и Азии. Примерно половину базы составляют российские компании.
«Впервые в практике Cobalt фишинговые письма были отправлены от имени крупного антивирусного вендора», — сообщили в Group-IB. — Почтовая рассылка шла с домена kaspersky-corporate.com. Этот домен зарегистрирован не на «Лабораторию Касперского» и связан с лицом, на которое были зарегистрированы домены для атак Cobalt ранее».
С этого домена хакеры рассылали «жалобы» об обнаружении активности, нарушающей законодательство. «Получателю предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения, — говорят в Group-IB. — Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на веб-ресурсы получателя. Чтобы скачать это письмо, пользователю нужно было перейти по ссылке, что и приводило к заражению компьютера сотрудника банка».
28 мая хакеры использовали другую тактику. Они рассылали письма от имени Центрального европейского банка со ссылками на документ формата .doc. В нем якобы шла речь о финансовых рисках. После перехода по ссылке в компьютер проникал эксплойт CVE-2017-11882. При помощи программы JS-backdoor, уникальной разработки Cobalt, этот эксплойт грузился в компьютерную систему банка.
* * *
Читайте наш канал и общайтесь с нами и другими читателями в чате Telegram.
