Positive Technologies 揭示：今年早些時候?qū)⑿袆訑U張至美國后，金錢驅(qū)動的“Cobalt”網(wǎng)絡犯罪團伙改變了戰(zhàn)術，如今采用供應鏈攻擊對公司企業(yè)的合作伙伴下手。

Cobalt在2016年被發(fā)現(xiàn)，目前全球范圍內(nèi)活躍，可快速應對銀行的保護措施，其對公司員工基礎設施和賬戶的惡意使用就是明證。研究人員稱，為誘騙接受者打開來自非法域名的網(wǎng)絡釣魚郵件，該團伙還會使用安全監(jiān)管機構(gòu)的名號。

該組織的目標是銀行、金融交易所、保險公司、投資基金和其他金融機構(gòu)。攻擊者將網(wǎng)絡釣魚消息偽裝成來自金融監(jiān)管者的郵件，并運用多種格式的惡意附件誘騙目標上當，包括惡意文檔或打包進可執(zhí)行文件/快捷方式文件的ZIP壓縮包。

這伙黑客是最先使用微軟 Word Intruder 8 漏洞利用生成器最新版本的一群人，今年4月才被修復的 CVE-2017-0199 漏洞也在他們的利用列表中。該團伙還濫用防護不良的公開網(wǎng)站投送惡意文件到受害者電腦，向公司企業(yè)和目標雇員的個人郵件地址投遞網(wǎng)絡釣魚郵件。

去年，該組織針對東歐、中亞和東南亞的金融機構(gòu)下手，但今年，目標列表擴張到了北美、西歐甚至南美(阿根廷)。

75%的目標公司身處金融行業(yè)，其中90%是銀行。但該團伙同樣瞄上了金融交易所、投資基金、貸款機構(gòu)，且研究人員稱，這表明很快將有一波攻擊針對資金流動量大的各類公司。

除了金融機構(gòu)，這伙黑客還針對政府、電信/互聯(lián)網(wǎng)、服務提供商、制造業(yè)、娛樂行業(yè)和醫(yī)療保健公司。“Cobalt攻擊政府機構(gòu)和部門，把他們當成通往其他目標的墊腳石。”

研究人員稱，Cobalt攻擊的技術方面只是少數(shù)幾個人負責。這一技術團隊似乎還承擔了注冊惡意域名和發(fā)送網(wǎng)絡釣魚郵件的責任。

惡意郵件通常包含一份惡意附件，要么從遠程服務器上獲取惡意程序釋放器，要么附件本身就是含有釋放器的密碼保護壓縮文檔。釋放器落地后會執(zhí)行Beacon木馬(與FIN7/Carbanak黑客組織有關)。

通過偽造發(fā)家信息，該團伙向與銀行有合作的特定公司投遞網(wǎng)絡釣魚郵件，攻克合作公司后，便開始利用真實雇員的被黑賬戶和郵件服務器，從這些合作公司的基礎設施發(fā)送網(wǎng)絡釣魚消息。因此，最終的接受者有很大可能性信任發(fā)家，也就增加了感染的成功率。

攻擊者小心選擇會被仔細審查的主題欄、收件人地址和附件名稱，讓接受者打開那些包藏了釣魚信息的附件。

Cobalt網(wǎng)絡釣魚郵件中，60%都與銀行及其合作伙伴間的合作及服務條款有關。安全焦慮也是該組織會采用的一種攻擊方法，他們會注冊非法域名，冒充VISA、MasterCard、俄羅斯央行的FinCERT部門，還有哈薩克斯坦的國家銀行等機構(gòu)發(fā)送消息。

安全研究人員認為，該組織用來向萬千接受者發(fā)送郵件的自動化工具是 alexusMailer v2.0，一款免費PHP腳本，具備匿名性，提供多線程發(fā)送支持。

該組織還使用流傳甚廣的公開郵件服務，以及可以匿名注冊臨時地址的服務。

該組織慣于在一周開始的時候注冊域名，然后準備黑客工具，再在周末專注利用被黑公司的基礎設施發(fā)出郵件開展攻擊。從域名被注冊，到正式應用在攻擊行動的平均時間是4天。

因為網(wǎng)絡釣魚郵件是在工作時段發(fā)送的，域名就往往是在下午6點到午夜12點之間，這也符合歐洲國家工作日的習慣。

研究人員還搶在攻擊開始前，就發(fā)現(xiàn)并封鎖了新注冊的Cobalt網(wǎng)絡釣魚域名，并與俄羅斯和其他國家的行業(yè)監(jiān)管機構(gòu)合作，阻斷了所有.ru域名及與該組織相關的其他頂層域名的代理。

Cobalt組織在2017年造成的損失尚未有確切數(shù)字報出。或許來自銀行監(jiān)管機構(gòu)的警告抵銷了部分該組織的釣魚效果。從Cobalt遍及全球的行動范圍判斷，銀行損失數(shù)百萬美元是極有可能的。如果對金融交易所的攻擊成功執(zhí)行，那就不僅僅是各公司的直接損失，還要加上對世界貨幣市場的匯率震蕩所造成的損失了。