WF曲速未来消息:Cobalt黑客组织在俄罗斯和罗马尼亚测试银行
WF曲速未来表示:根据本月观察到的新的鱼叉式网络钓鱼活动中,Cobalt黑客组织针对俄罗斯和罗马尼亚的银行,其电子邮件包含指向两个不同命令和控制服务器的两个有效负载。
Cobalt是一个网络犯罪团伙,至少在2016年开始运营,专门针对金融机构。根据欧洲刑警组织的数据,该组织与全球至少100家银行的网络攻击有关,从中偷走了大约10亿欧元。
虽然据称这名头目已于今年在西班牙被捕,并且有三名据信是黑客组成员的人 在本月初被指控,但该组仍在继续运作。
网络钓鱼电子邮件使用类似于金融组织的域
WF曲速区消息:在8月13日发现了一个带有Cobalt签名的新广告系列。目标是俄罗斯的NS银行。ASERT的威胁情报合作伙伴Intel471发现了针对罗马尼亚Carpatica Commercial Bank/Patria Bank的另一项活动。
发送给受害者的电子邮件据称来自与金融业有关的其他机构,这是一种旨在增加在附件中发布武器化文件的信心的策略。
经过研究人员检查了域名rietumu [.] me,它是一个连接到Cobalt活动的命令和控制(C2)服务器,并找到了一个电子邮件地址,导致他们在8月1日创建了五个新域,其中一个是inter -kassa [.]融为一体。
专家发现的其他领域,显然试图冒充金融机构是:
1.compass [.]plus-可能冒充BBVA Compass Bancshares或Compass Savings Bank
2.eucentalbank [.]com-可能冒充欧洲中央银行
3.eurocentalbank [.]com-可能冒充欧洲中央银行
4.unibank [.]信贷-可能冒充全球任何一家Unibank金融机构
Interkassa是一家位于佐治亚州(该国)的合法支付处理系统,提供超过50种支付工具,用于多种货币的在线交易。
寻找与此域名相关的样本,ASERT为NS Bank员工发现了一个网络钓鱼邮件。与“规范”相反,它包含两个指向恶意文件的链接:一个链接到带有混淆VBA脚本的Word文档,另一个用于下载扩展名更改为JPG的二进制文件。
电子邮件提供两个武器化文件的链接
武器化的Office文件需要具有运行宏的权限才能执行VBA脚本。但是如果启用了宏,则会触发一个复杂的操作,最后下载并运行与后者链接到Cobalt组的功能非常相似的JavaScript后门。
在NS Bank的电子邮件中伪装成JPEG图像的可执行文件来自hxxp:// sepa-europa [.] eu,一个假装与单一欧元支付区域(SEPA)相关的域名,这是一个更容易跨境的计划在欧盟空间内付款。
“UPX解压缩,是一个可执行文件,而不是一个图像文件。样本中充斥着垃圾代码,在进行去混淆自身之前花费了CPU周期。解包例程涉及用另一个可执行文件覆盖自己的内存,”ASERT解释道。
在分析了这个二进制文件之后,研究人员确定它是CobInt/COOLPANTS的一种变体-在过去由Cobalt黑客操作的C2上发现的侦察后门。
“在一封电子邮件中使用单独的感染点和两个独立的C2会使这个电子邮件变得特别。人们可以推测这会增加感染几率,”ASERT总结道。
罗马尼亚银行的鱼叉钓鱼员工
针对Carpatica商业银行的鱼叉式网络钓鱼活动现已与Patria Bank合并,提供的恶意软件共享相同的程序数据库,其中包含来自域名rietumul [.] me的样本,与Cobalt集团相关联。
网络钓鱼电子邮件的标题显示,攻击者再次使用SEPA作为恶意活动的掩护,使用SEPA Europe作为邮件的发件人。
目前还不清楚Intel471何时收到网络钓鱼邮件,但两周前罗马尼亚情报局(SRI)宣布它已经掌握了针对罗马尼亚金融机构的网络攻击的可靠信息。
根据来文,这些事件发生在6月到8月之间,这个时间框架与两家公司研究人员发现的活动重叠。
具有信息数据分析显示,黑客使用的攻击工具包括Cobalt Strike,这是一种用于渗透测试的软件。各种安保公司的大量报告证实了这一点,该报告审查了该集团的活动。
网络钓鱼就是这样开始的:
区块链安全公司WF曲速未来提醒:鱼叉式网络钓鱼是攻击的初始阶段,该组织试图在银行的数字基础设施中获得立足点。Cobalt小组的后续活动通常包括侦察和在网络内横向移动。
在他们了解目标如何运作并获得与高级员工相同的访问权限之后,黑客可以执行汇款,命令ATM,以及从支付网关和SWIFT系统窃取资金。
WF曲速未来消息:Cobalt黑客组织在俄罗斯和罗马尼亚测试银行相关推荐
- WF曲速未来消息:以自定义格式反转恶意软件|隐藏的蜜蜂元素
WF曲速未来表示:恶意软件可以由许多组件组成.通常,都会遇到充当恶意下载程序的宏和脚本.一些功能也可以通过与位置无关的代码实现-所谓的shellcode.但是当谈到更复杂的元素或核心模块时,都几乎理所 ...
- 曲速未来 消息:警惕 Locky Poser,PyLocky Ransomware
区块链安全咨询公司 曲速未来 表示:虽然勒索软件在今天的威胁形势中明显受到限制,但它仍然是网络犯罪的主要内容.事实上,它在2018年上半年的活动略有增加,通过微调以逃避安全解决方案保持同步,模仿已建立 ...
- 被迫停运|黑客组织攻击俄罗斯天然气公司石油网站
近日,据网上消息称,俄罗斯国家天然气公司Gazprom的石油部门Gazprom Neft网站遭到黑客攻击,网站被迫关闭.被黑客入侵后,一份来自俄罗斯天然气工业股份公司首席执行官阿列克谢米勒的声明被公开 ...
- 曲速未来 揭秘:以太坊区块链和ERC20代币的技术挑战
区块链安全咨询公司 曲速未来 消息:在2018年,可以看到以太坊区块链的能力的许多进步.这些创新是由遍及庞大且不断发展的生态系统的以太坊和ERC20令牌项目推动的. 这些创新对于以太坊作为新标记的顶级 ...
- 曲速未来 揭示:Lisk(LSK)有什么价值?
区块链安全咨询公司 曲速未来 消息:Lisk(LSK)引起了很多关注,因为它是一种基于侧链的加密货币. 为了解释,Lisk的区块链生态系统让任何人都可以轻松访问侧链.侧链是一种加密程度较低的数字快捷方 ...
- 曲速未来 披露:由macOS NFS客户端中的缓冲区溢出引起的内核RCE
区块链安全咨询公司 曲速未来 消息:有安全人员在Apple的macOS操作系统内核中发现的几个堆栈和堆缓冲区溢出.Apple将这些漏洞归类为内核中的远程代码执行漏洞,因此它们非常严重.攻击者可能会利用 ...
- 曲速未来 :网络犯罪分子于广告上哥斯拉加载程序的恶意软件
图1.哥斯拉加载器恶意软件 区块链安全咨询公司 曲速未来 消息:网络犯罪分子在Dark网络论坛上以500美元的价格宣传Godzilla Loader恶意软件,该恶意软件被定期维护并获得新的更新. 哥斯 ...
- 曲速未来 披露:对加密货币交换gate.io供应链攻击
区块链安全咨询公司 曲速未来 消息:11月3日,攻击者成功攻击了领先的网络分析平台StatCounter.许多网站管理员都使用此服务来收集访问者的统计信息 - 这项服务与Google Analytic ...
- 全球最神秘的5大黑客组织,其中有一个是中国人
在我心里,黑客是一个神奇的人物,黑客组织更是一个超级神秘的团队.他们拥有世界上最先进的计算机技术.今天让我来冒险揭开全球最神秘的5大黑客组织,其中有一个是中国人. 1.匿名者黑客组织(澳大利亚) 创立 ...
最新文章
- R语言层次聚类:通过内平方和(Within Sum of Squares, WSS)选择最优的聚类K值、以内平方和(WSS)和K的关系并通过弯头法(elbow method)获得最优的聚类个数
- 天涯htmlcss基础框架
- 为 Vue3 学点 TypeScript, 命名空间(namespace)是什么?
- python numpy 中 np.mean(a) 跟 a.mean() 的区别
- 横向排列两个多个div盒子的方法(CSS浮动清除float-clear/inline)/办法
- python异常处理的语法格式_Python异常处理
- 极限与连续知识点总结_高数上知识点期末复习 极限、连续、间断点(一)
- tushare写三因子模型
- LeetCode 374. Guess Number Higher or Lower
- 使用Timer的schedule()方法
- shell 命令管理tomcat
- cmder 下载与简单设置
- HYSPLIT 模型 传输轨迹 使用指南
- Mybatis技术的使用一:逆向工程
- cpu虚拟化(cpu虚拟化开启有什么影响)
- 全球与中国保健品OEM和ODM市场现状调查及投资规划建议报告2022-2028年
- springboot发送qq邮件详细步骤
- 投影仪买哪个好?家用投影仪哪种好
- 色即是空之临时演员[韩国]
- 首款国产全画幅8K50P广播级摄像机