Хакери угруповання Cobalt з РФ атакували 250 компаній по всьому світу
Хакерське угруповання Cobalt, має російські корені, в 2017 році значно розширила сферу діяльності.
Повідомляє 112.ua з посиланням на російське інформаційне агентство РБК .
Згідно зі звітом, у першій половині 2017 року Cobalt розіслала фішингові листи, що містять у собі заражені файли, більш ніж 3 тис. одержувачів з 250 компаній в 12 країнах світу. При цьому до списку традиційних для Cobalt цілей, що знаходяться в СНД, країнах Східної Європи та Південно-Східної Азії, додалися компанії, розташовані в Північній Америці, Західній Європі та Південній Америці, зокрема в Аргентині. В сфері інтересів угруповання тепер не тільки банки, але і біржі, страхові компанії, інвестфонди та інші організації.
“Атаки на нефінансові організації здійснюються з метою підготовки плацдарму для подальших атак на банки. Наприклад, зловмисники можуть розсилати фішингові листи від особи регулятора або партнера банку, для якого він надає послуги”, — пояснив РБК заступник директора центру компетенції за експертними сервісів Positive Technologies Олексій Новіков.
Групування масово відправляє фішингові листи з підроблених доменів, що імітують повідомлення від Visa, MasterCard, центру реагування на кібератаки у фінансовій сфері Центрального банку Росії (FinCERT) і Національного банку Республіки Казахстан, розповіли в Positive Technologies. Для цих цілей Cobalt використовувала як мінімум 22 підроблених домену, що імітують сайти великих фінансових організацій та їх контрагентів.
Типова атака Cobalt складається з декількох етапів, розповідає представник Positive Technologies. Спочатку реєструються підроблені домени, нібито належать великим компаніям, наприклад Visa. Потім на адресу банків та їх контрагентів проводиться фишинговая розсилання, що містить шкідливий файл, зазвичай документ Microsoft Word. Після відкриття цього вкладення користувачем запускається програма, яка не дає систем антивірусного захисту зреагувати на вірус. Після чого завантажується власне троян, який дозволяє організувати віддалений доступ до робочого комп’ютера співробітника компанії-жертви. Далі зловмисники можуть розвивати атаку всередині організації, або відправити зі зламаного робочого столу лист з аналогічним шкідливим софтом в іншу організацію.