Компания Group-IB, занимающаяся расследованием и предотвращающая киберпреступления, рассказала про новые массовые атаки хакерской группировки Cobalt, атаковавших на этот раз ряд ведущих банков России и СНГ, а также зарубежных финансовых организаций. Как следует из сообщения Group-IB, атаки были совершены 23 и 28 мая посредством рассылки фишинг-писем.
Представители Group-IB не уточнили, какие именно это были банки. Вместе с тем пояснили, что база рассылки, регулярно используемой Cobalt, состоит из как минимум 86 разных организаций из разных стран. Список представлен не только банками и страховыми компаниями, но и СМИ, юридическими конторами, лизинговыми, строительными компаниями, интернет-провайдерами, интеграторами в СНГ, США, Европе, Азии — фактически охвачен весь земной шар. Имея этот список, злоумышленники могут формировать «подписки» в зависимости от того, какую цель для атаки они ставят, примерно 50% базы занимает Россия. При этом фактически список атакуемых компаний может быть более широким, и, судя по всему, так и есть.
По словам представителей пресс-службы ЦБ, FinCERT вовремя ставил в известность банки о возможности получения ими фишинговых рассылок.
Первую волну фишинг-рассылки Cobalt зафиксировали 23 мая в 13:21 мск (по прошествии почти пяти месяцев перерыва). Впервые в практике Cobalt отправка фишинговых писем была осуществлена от имени крупного антивирусного вендора. Почтовую рассылку отправили с домена kaspersky-corporate.com., зарегистрированные не на «Лабораторию Касперского»: как отметили в Group-IB, через этот домен была выявлена прямая связь с лицом, на которое раньше зарегистрировали домены для атак Cobalt.
По сведениям Group-IB, с этого домена хакеры осуществляли рассылку пользователям «жалоб», составленных по-английски, на то, что якобы была обнаружена активность, нарушающая существующее законодательство. Получатель должен был прочитать вложение и детально все объяснить. В случае неполучения ответа в 48-часовой срок, «антивирусная компания» грозила наложением санкций на веб-ресурсы получателя». скачивание этого письма требовало от пользователя перехода по ссылке, что приводило бы к заражению компьютера.
По словам специалистов «Лаборатории Касперского», действительно на прошлой неделе, они зафиксировали фишинговую рассылку, замаскированную под пользовательские уведомления. Но сейчас домены, с которых шло распространение рассылки, заблокированы, вредоносное ПО изначально было детектировано и заблокировано защитными решениями «Лаборатории Касперского». Что характерно, упоминание известного бренда в таких случаях — стало широко распространенной практикой. Нередко фальшивые письма и сайты во всем становятся повторением дизайна настоящих, что обманывает невнимательного пользователя: возможна маскировка имен файлов, сервера управления и др.
Второй случай масштабной вредоносной рассылки Cobalt был зафиксирован через пять дней — 28 мая примерно в 13:00 мск. На этот раз злоумышленники маскировались под Центральный европейский банк. Письмо содержало ссылку на документ с разрешением .doc, в котором якобы описывались финансовые риски. В реальности же этим документом Word эксплуатировалась уязвимость CVE-2017-11882: если открыть эксплойт и успешно эксплуатировать уязвимость, система банка будет заражена, вредоносная программа первично «закрепится» ней, а поможет ей уникальный загрузчик JS-backdoor (уникальная разработка Cobalt.
Как считают в Group-IB, стать жертвами таких кибератак могли не только банки России и СНГ, ведь оба письма написаны по-английски. Экспертами высоко оценено качество фишинг-писем.
По словам CTO Group-IB Дмитрия Волкова, мы уверены, что коллаборация Cobalt и Anunak, с помощью которой эти группы установили своеобразные антирекорды, реализовав наиболее сложные атаки и выведя сотни миллионов долларов, еще не исчерпана. Чтобы бизнес и регуляторы рынка приняли превентивные меры против этих преступных действий, мы осуществляем публикацию технических индикаторов для защиты от фишинга, чтобы можно было идентифицировать инфраструктуру и методы, до сих пор используемые хакерами.
Группировка Cobalt — относится к наиболее агрессивным русскоговорящим хакерским группам, её деятельность началась в 2013 году. В соответствии с данными Европола, за все время работы Cobalt похищено свыше 1 млрд евро. Причем только в одном из инцидентов в одном из банков Евровы хакеры пытались вывести 25 млн евро. Группировка Cobalt нанесла ущерб финансовым структурам более чем 40 стран, среди которых — Россия, Испания, Великобритания, Нидерланды и др. Арест лидера Cobalt удалось произвести в марте этого года, но несмотря на это активность группы сохранилась.
Яркая особенность Cobalt - хищения через систему межбанковских переводов SWIFT. В первый раз таким образом хакеры атаковали в 2016 году банк Гонконга, позже - украинский банк. Первая атака через SWIFT в истории российской банковской индустрии была организована в конце прошлого года - на российский банк.
