Поиск
Показаны результаты для тегов 'cobalt'.
Найдено: 4 результата
-
Исследователи безопасности из компании Group-IB сообщили подробности о деятельности хакерской группировки Cobalt. Несмотря на арест лидера группировки в Испании в марте текущего года, оставшиеся члены продолжают свою деятельность. В частности, 23 и 28 мая 2018 года Cobalt снова провела серию атак на банки в России, странах СНГ и зарубежные финансовые организации. В ходе вредоносной кампании 23 мая группировка рассылала фишинговые письма от имени крупного производителя антивирусов («Лаборатории Касперского»). Пользователи получили «жалобу» на английском языке о том, что с их компьютеров якобы зафиксирована активность, нарушающая существующее законодательство. Получателю предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на web-ресурсы получателя. Для скачивания письма необходимо было перейти по ссылке, что приводило к заражению компьютера сотрудника банка. 28 мая 2018 года зафиксирована новая вредоносная рассылка Cobalt. Письмо от имени Центрального Европейского банка с ящика v.constancio@ecb-europa[.]info было разослано по банкам. В письме содержится ссылка на документ 67972318.doc, якобы описывающий финансовые риски. Файл 67972318.doc представлял собой вредоносный документ Word, эксплуатирующий уязвимость CVE-2017-11882. В результате открытия файла и успешной эксплуатации уязвимости происходило заражение и первичное «закрепление» вредоносной программы в системе банка с помощью уникального загрузчика JS-backdoor, являющегося уникальной разработкой Cobalt. «Cobalt по-прежнему активен: участники группы не прекращают атаковать финансовые и другие организации во всем мире. Мы убеждены в том, что коллаборация Cobalt и Anunak, позволившая установить своего рода анти-рекорды этим группам в части реализации наиболее сложных атак, завершившихся выводом сотен миллионов долларов, еще не исчерпала себя», - отметил исследователь Дмитрий Волков.
-
- хакерская
- группировка
-
(и ещё 4 )
C тегом:
-
Исследователи безопасности из компании Group-IB зафиксировали новую кибератаку хакерской группировки Cobalt, также известной как Carbanak и Anunak. Хакеры продолжают проявлять активность даже после ареста человека, предположительно являющегося лидером группировки. По словам экспертов, злоумышленники осуществили очередную фишинговую рассылку, на этот раз от имени компании SpamHaus, специализирующейся на защите от спама и фишинга. В отправленных с поддельного адреса j.stivens@spamhuas[.]com письмах утверждалось, что IP-адреса жертв были заблокированы из-за подозрений в рассылке спама. Далее получателям предлагалось перейти по ссылке, ведущей на страницу загрузки документа Microsoft Office, содержащего вредоносное вложение. Изучив структуру атаки, специалисты отдела анализа вредоносного кода подтвердили, что за рассылкой стоит именно Cobalt. «Мы не исключаем, что оставшиеся на свободе члены Cobalt некоторое время будут продолжать атаки, в том числе, чтобы показать, что их задержанные подельники не причастны к этой группе. Однако, учитывая арест лидера группы, такие атаки вскоре сойдут на нет. Вероятнее всего члены Cobalt примкнут к действующим группам или, в результате, очередного „передела“ появится новая киберкриминальная структура, атакующая банки в разных странах. В любом случае, не стоит списывать со счетов наследие Cobalt — и с точки зрения ресурсов, и с точки зрения инструментария», - заявил руководитель департамента Threat Intelligence и CTO Group-IB Дмитрий Волков. Хакерская группировка Carbanak активна как минимум с 2013 года. С помощью вредоносного ПО Anunak киберпреступники атаковали электронные платежные системы и банки в 40 странах по всему миру. В 2016 году киберпреступники переключились с Anunak на более сложное ПО Carbanak, использовавшееся до 2016 года, а затем вооружились еще более усовершенствованным инструментом, созданным на основе программы для проведения тестов на проникновение Cobalt Strike. С помощью вредоносного ПО злоумышленники заставляли банкоматы выдавать наличные.
-
- хакерская
- группировка
-
(и ещё 4 )
C тегом:
-
Хакерская группировка Cobalt, известная своими атаками на финучреждения, изменила свою тактику – если раньше злоумышленники атаковали клиентов банков, то теперь их целью стали сами финорганизации. Специалисты компании Trend Micro зафиксировали ряд кибератак, которые, судя по всему, являлись частью стартовавшей летом нынешнего года кампании, направленной на русскоязычные предприятия. Предыдущие кампании группировки были ориентированы на банкоматы и европейские финансовые организации. В отличие от других российских или русскоязычных хакерских группировок, как правило, избегающих страны постсоветского пространства, Cobalt, по всей видимости, использует данный регион в качестве тестовой площадки для испытания новых техник и вредоносного ПО. По данным исследователей, в недавних атаках злоумышленники рассылали фишинговые письма от имени клиентов целевых организаций, арбитражного суда или компании, специализирующейся на кибербезопасности. Первое вредоносное письмо, обнаруженное в конце августа. содержало RTF-документ с вредоносным макросом, однако уже в сентябре группировка переключилась на использование эксплоита для уязвимости CVE-2017-8759 в Microsoft .NET Framework, позволяющей удаленно выполнить код. Microsoft выпустила исправляющий проблему патч в сентябре текущего года. Проэксплуатировав уязвимость, хакеры устанавливали на компьютере жертвы бэкдор Cobalt Strike, который связывался с удаленным управляющим сервером и ожидал команд злоумышленников. «Исследователи в области безопасности постоянно создают новые механизмы для обнаружения угроз, но и киберпреступники не сидят сложа руки, модифицируя свои тактики. В случае Cobalt они рассматривали легитимные программы Windows в качестве каналов, позволяющих их вредоносным кодам обойти белые списки», - отметили исследователи.
-
- хакерская
- группировка
-
(и ещё 4 )
C тегом:
-
Хакеры российской группировки Cobalt, известные своими атаками на финансовые учреждения в 2016 году, значительно расширили сферу деятельности. Теперь хакеров интересуют не только банки, но и биржи, страховые компании, инвестфонды и другие организации. Об этом сообщается в отчете компании Positive Technologies. В первой половине 2017 года Cobalt разослала фишинговые письма, содержащие вредоносный файл, от имени Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и Национального банка Республики Казахстан. Письма получили более 3 тыс. человек из 250 компаний в 12 странах мира. При этом, письма отправлялись не только на корпоративные почтовые адреса, но и на личные адреса сотрудников, поскольку сотрудники могут проверять личную почту на рабочем месте. Обычно такие письма содержат вредоносный файл, заражающий систему после его открытия/запуска. Как правило, злоумышленники используют документы Microsoft Office (файлы с расширениями .doc, .xls, .rtf), а также архивы с исполняемыми файлами (расширения .scr, .exe, .lnk). Как отмечается в отчете, Cobalt в числе первых заполучили доступ к последней версии эксплойт-билдера Microsoft Word Intruder 8 и использовали инструмент для эксплуатации уязвимости CVE-2017-0199. Согласно статистике Positive Technologies, в среднем 20-30% сотрудников открывают потенциально-опасные вложения, предоставляя злоумышленникам доступ к своим компьютерам.