Банда Кобальта была связана с кражей миллионов долларов из финансовых учреждений по всему миру.
Группа продвинутых постоянных угроз (APT) Cobalt Gang, также известная как Gold Kingswood, распространяет вредоносное ПО SpicyOmelette в кампаниях, нацеленных на финансовые учреждения по всему миру.
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше
В мире, где кибератаки как на предприятия, так и на потребителей распространяются и развиваются по своему характеру и сложности, основной удар часто несут финансовые учреждения.
Клиенты банков, обманутые мошенническими схемами или ставшие жертвами воровства из-за потери своих финансовых полномочий часто пытаются потребовать обратно потерянные средства, из которых банки кажется, различаются когда дело доходит до компенсации.
Некоторые банки пытаются возложить ответственность мошенничества
у ног своих клиентов, чтобы сократить расходы. Однако жертвами могут стать не только клиенты, но и сами заведения.Читай дальше: Вот один удивительный урок, который я усвоила, став жертвой мошенничества с дебетовыми картами.
Смелый ограбление банка в 2017 году приписали компании Lazarus, которой удалось обмануть сотрудников перевод 80 миллионов долларов со счета Федеральной резервной системы Центрального банка Бангладеш в Нью-Йорке.
За этим последовали финансовые потери $13,5 млн пострадал Космос Банк, одно из старейших финансовых учреждений Индии. Вредоносное ПО заразило банкоматный сервер банка, чтобы облегчить кражу информации о кредитных картах клиентов, а также банковских кодов SWIFT, необходимых для совершения транзакций.
Киберпреступники, способные проникнуть в эти системы, могут совершить убийство. Один только Карбанак сумел украсть не менее 1 миллиарда долларов от банков во всем мире, и теперь Cobalt вернулся на сцену с новой кампанией против подобных целей.
Техреспублика: Соблюдение PCI снижается впервые за 6 лет, но ИТ остается на высоте
В четверг исследователи из отдела противодействия угрозам Secureworks (CTU) сказала группа «использует свои обширные ресурсы и сетевые знания для нацеливания на дорогостоящие финансовые организации по всему миру».
Cobalt — это сложная хакерская группа, известная тем, что преследует важные финансовые цели, а не погружается в массовые спам-кампании или кражу личных учетных данных. Действуя как минимум с 2016 года, APT специализируется на целенаправленном вторжении в сеть с целью получения доступа к системам, которые могут быть скомпрометированы с целью кражи.
Последние кампании хакерской группы ничем не отличаются.
CTU следил за Cobalt в течение этого года и обнаружил размещение SpicyOmelette — вредоносный инструмент, используемый на начальных этапах атаки на финансовое учреждение.
vrenture.com/: Трамп одобрил «наступательные кибероперации» как средство сдерживания конкурентов США
SpicyOmelette (DOC2018.js) — это сложный удаленный JavaScript-код, который предоставляет злоумышленникам удаленный доступ к зараженной системе.
Вредоносное ПО обычно доставляется через фишинговые электронные письма, содержащие вложение в формате PDF. Однако если жертва, например сотрудник банка, щелкнет файл, она будет перенаправлена на URL-адрес Amazon Web Services (AWS), контролируемый Cobalt.
Затем на этой странице устанавливается SpicyOmelette, подписанный действительным и надежным центром сертификации (CA).
Образец SpicyOmelette, обнаруженный исследователями безопасности, также «передавал параметры действующей утилите Microsoft, что позволило угрозе злоумышленникам выполнить произвольный код JavaScript в скомпрометированной системе и обойти многие средства защиты, внесенные в белые списки приложений», — заявили в команде.
После установки SpicyOmelette на машину вредоносное ПО обеспечивает операторам решающую точку опоры в целевой системе.
Вредоносное ПО способно собирать информацию о машине, такую как IP-адрес, имя системы и запущенное программное обеспечение. списки приложений, устанавливать дополнительные вредоносные программы, а также сканировать их на наличие в общей сложности 29 антивирусные инструменты.
SpicyOmelette открывает путь к повышению привилегий посредством кражи учетных данных, идентификации систем, содержащих прибыльные финансовые данные или возможности транзакций, включая платежные шлюзы и архитектуру банкоматов, а также развертывание инструментов после заражения, специально разработанных для компрометации этих системы.
Смотрите также: Как хакерам удалось украсть $13,5 млн в ходе ограбления банка Cosmos
Кобальт был связан с кражей миллионов долларов из финансовых учреждений по всему миру и, как полагают, причинил ущерб на сумму более 1 миллиарда евро. Несмотря на арест APT предполагаемый лидер в этом году, группа не показывает никаких признаков остановки.
«Аресты подозреваемых операторов Gold Kingswood в марте 2018 года не остановили кампании группы угроз, вероятно, из-за ее обширной сети ресурсов», — говорят в CTU. «[Мы] ожидаем, что операции и набор инструментов Gold Kingswood будут продолжать развиваться, и финансовые организации всех размеров и географических регионов могут подвергнуться угрозам со стороны этой группы».
«Детальное понимание финансовой системы группой угроз и история успешных кампаний делают ее серьезной угрозой», — добавили исследователи.
Худшие кибератаки, предпринятые хакерами национальных государств
Предыдущее и связанное освещение
- Малому и среднему бизнесу грозит ущерб в размере до 2,5 миллионов долларов после утечки данных
- Обнаружена уязвимость обхода конфиденциальности нулевого дня в Apple MacOS Mojave
- Троянская вредоносная кампания расширяется за счет атак на новые банки