Hackers rusos Cobalt centrados en ataques a ex estados sovieticos
La banda criminal rusa Cobalt estuvo particularmente activa en el último mes segun un nuevo informe confirma un uso masivo del malware CobInt en ataques recientes.
Los investigadores de seguridad de Proofpoint informaron sobre el uso masivo del malware CobInt por parte del grupo Cobalt en ataques recientes. El nombre Cobalt se basa en la asociación del malware con el "Cobalt Group" y un nombre DLL interno de "int.dll" utilizado en algunas de las muestras detectadas por los expertos.
El 13 de agosto de 2018, expertos en seguridad de ASERT de Netscout, descubrieron una nueva campaña llevada a cabo por la pandilla criminal Cobalt . Los piratas informáticos también se enfocaron en el NS Bank en Rusia y Carpatica / Patria en Rumania.
La pandilla del crimen de cobalto ha estado activa desde al menos 2016, se dirigió a bancos de todo el mundo, el grupo aprovechó los correos electrónicos de spear phishing para comprometer los sistemas de destino, correos electrónicos falsificados de instituciones financieras o un proveedor / socio financiero.
Los atacantes explotaron varias vulnerabilidades en Microsoft Office, incluidos CVE-2017-8570, CVE-2017-11882 y CVE-2018-0802.
El grupo también se enfocó en entidades de otros sectores, incluyendo agencias gubernamentales, compañías de telecomunicaciones, proveedores de servicios de Internet, manufactura, entretenimiento y compañías en la industria de la salud.
A principios de este año, el grupo de piratas informáticos usó el malware como un descargador de primera etapa, pero en ataques posteriores, la tripulación ya no lo usó. CobInt es un malware CobInt de etapas múltiples que el grupo ha eliminado a través de documentos maliciosos de Office que se crearon utilizando el kit de construcción ThreadKit.
La banda criminal Cobalt utilizó nuevamente la puerta trasera CobInt en muchos ataques desde julio, incluidos los ataques dirigidos contra los bancos rusos y rumanos.
En agosto, los expertos en Proofpoint observaron al menos cuatro campañas del grupo aprovechando el malware CobInt.
"También hemos observado a un actor comúnmente conocido como Cobalt Gang (o Group) usando otro nuevo programa de descarga que comparte muchas de estas características desde principios de 2018. Group-IB llamó a este malware" CobInt "y publicó un informe sobre su uso por Cobalt Gang en 3 de mayo]. Si bien notamos que Cobalt Gang parecía dejar de usar CobInt como un descargador de primera etapa cuando los investigadores del Grupo-IB publicaron sus hallazgos, desde entonces han vuelto a utilizar el programa de descarga en julio ", dice el análisis publicado por Proofpoint.
Debajo de la lista de los ataques llevados a cabo por la banda criminal Cobalt en las últimas semanas:
- 2 de agosto de 2018 El atacante utilizó mensajes con el tema "Подозрение на мошенничество" (Traducido del ruso: "Sospecha de fraude") que pretende ser de "Interkassa" utilizando una dirección de correo electrónico del remitente con un dominio similar "denis [@] inter-kassa [.] Com".
- 14 de agosto de 2018, Los atacantes utilizaron mensajes que falsificaban el área única de pagos en euros (SEPA) con dominios emisores similares a sepa-europa [.] Com o sepa-europa [.] Información y temas tales como "notificación", "carta", "mensaje" y "aviso" ". Los mensajes (Figura 1) contenían: CVE-2017-8570, CVE-2017-11882 o CVE-2018-0802
- 16 de agosto de 2018, Los atacantes utilizaron mensajes que pretendían ser de Alfa Bank utilizando un dominio similar aifabank [.] Com y temas como "Control de fraude", "Фрауд" (se traduce en "Fraude"), "Предотвращение хищения" (Se traduce en "Prevención de robo" ) y "Блокирование транзакций" (se traduce en "Bloqueo de transacciones"). CVE-2017-8570, CVE-2017-11882 o CVE-2018-0802
- 4 de septiembre de 2018 Los atacantes utilizaron mensajes que supuestamente provenían de Raiffeisen Bank utilizando dominios remitentes similares a ralffeisen [.] Com y temas tales como "Transacción fraudulenta", "Fraude de transferencia bancaria" y "Solicitud de datos". CVE-2018-8174
El análisis de malware revela que el CobInt es un programa de descarga escrito en C que se puede dividir en tres etapas: un descargador inicial para el componente central, el componente central y varios módulos adicionales.
El descargador de la primera etapa oculta su actividad mediante el uso del hash de la función API de Windows y descarga la segunda etapa a través de HTTPS.
El componente principal descarga y ejecuta varios módulos desde su C & C. Los hosts de C & C se almacenan en un fragmento de 64 bytes de datos cifrados que se pueden descifrar mediante XORing con una clave XOR de 64 bytes.
El malware es compatible con los siguientes comandos:
load/execute module;
stop polling C&C;
execute function set by module;
update C&C polling wait time.
Estas notas de Proofpoint son pasos de reconocimiento que los atacantes probablemente sigan con el despliegue de módulos adicionales a los sistemas de interés comprometidos.
"CobInt proporciona evidencia adicional de que los actores amenazados -desde los jugadores más nuevos que presentamos en nuestro blog AdvisorsBot a actores establecidos como TA505 y Cobalt Group- buscan cada vez más a descargadores sigilosos para infectar inicialmente sistemas y luego solo instalar malware adicional en sistemas de interés. "Proofpoint concluye.
"A medida que las defensas mejoran en todos los ámbitos, los actores de amenazas deben innovar para mejorar el rendimiento de sus inversiones en malware y vectores de infección, haciendo que este enfoque sea coherente con el tema" seguir el dinero "que hemos asociado con una serie de campañas motivadas a lo largo de los años. . Esta parece ser la última tendencia a medida que los actores de amenazas buscan aumentar su efectividad y diferenciar las cargas finales basadas en los perfiles de los usuarios ".