臭名昭著的金融黑客Cobalt攻势再起!锁定俄罗斯及罗马尼亚银行

更多精采内容请下载官方APP: 苹果(iPhone)安卓(Android)安卓国内下载(APK)

专门销售网络安全暨网络监控软件的Arbor Networks周四(8/30)指出,恶名昭彰的金融黑客集团Cobalt在本月中旬展开新一波的攻击行动,初期锁定的对象为俄罗斯与罗马尼亚的银行。

至少从2016年底就展开攻击的Cobalt又被称为Carbanak或FIN7集团,该集团主要锁定全球的金融组织,经常使用ATM恶意程式发动攻击,研究人员也相信Cobalt亦是针对SWIFT银行系统进行一连串攻击的主谋,受害的金融组织估计已超过100家。

Cobalt集团不仅攻击目标遍及全球,成员也散布在全球各地,欧洲刑警组织(Europol)在今年3月宣布已逮捕Cobalt的首领,美国司法部亦于今年8月表示已逮捕隶属于该集团的乌克兰黑客,然而,Arbor Networks的研究显示此一黑客集团并未因此而收手。

Arbor Networks是在今年8月中旬发现Cobalt集团再度发动攻势,针对俄罗斯的NS Bank与乌克兰Patria Bank两家银行寄出钓鱼邮件,在寄件人部份伪装成这两家银行的合作伙伴或供应商,这些邮件内容看起来是良性的,却在邮件中夹杂着两个恶意连结。

其中一个连结指向一个含有恶意程式的Word档案,另一个则是指向假冒为JPG档的恶意程式,这两个档案所执行的恶意程式连结两个不同、但都由Cobalt掌控的C&C服务器,它们都是后门程序,目的是建立一个入口,以供未来载入其它恶意程式所用。

研究人员表示,他们并不确定黑客为何要在同一封邮件中使用两个不同的感染途径,也许只是为了增加感染概率。

这并非是Cobalt集团惯常使用的攻击手法,研究人员向Threatpost透露,锁定ATM的攻击不但旷日废时,还得协调取钱任务,针对SWIFT系统的攻击速度较快,且每次攻击平均可带来超过150万美元的收入,在新一波的钓鱼攻击中,尚无法确定黑客下一步的作法,也有可能连黑客自己都不知道,只是先行建立入口。

分享: