Cobalt Gang
最初,Cobalt小組專注於累積ATM:他們啓動了一個程序,該程序將命令直接發送到分配器以發行現金。然後,該小組轉移到銀行中的其他系統,包括卡處理,支付系統,SWIFT。一旦獲得了使用此類系統的權限,attack者就會研究如何進行支付和其他金融交易以重複進行支付。也就是說,諸如支付處理系統或SWIFT之類的服務實際上並未遭到hacker或“弱點”。實際的漏洞是銀行和針對此類高級attack的防護方法。
有組織犯罪集團於2013年底啓動了Anunak惡意軟件活動,開始了高科技犯罪活動,該活動針對全球金融機構的金融轉賬和ATM網絡。到第二年,相同的編碼人員將Anunak惡意軟件改進爲更復雜的版本,稱爲Carbanak,一直使用到2016年。從那時起,犯罪集團集中精力,通過使用基於Cobalt Strike pentest測試軟件的量身定製的惡意軟件。
在所有這些attack中,都使用了類似的作案手法。犯罪分子會向銀行員工發送帶有惡意附件的魚叉式網絡釣魚電子郵件,這些附件冒充了合法公司。一旦下載,惡意軟件就使犯罪分子能夠遠程控制受害者的受感染機器,從而使他們能夠訪問內部銀行網絡並感染控制ATM的服務器。這爲他們提供了兌現所需的知識。
ConInt或COOLPANTS
https://malpedia.caad.fkie.fraunhofer.de/actor/cobalt
Fin7和Cobalt
https://www.cyberscoop.com/fin7-cobalt-group-russian-hacking/
https://www.accenture.com/_acnmedia/PDF-107/Accenture-security-cyber.pdf#zoom=50
2016年11月
https://www.group-ib.com/blog/cobalt
Cobalt: logical attacks on ATMs
https://www.infosecurityeurope.com/__novadocuments/459980?v=636576764177630000
2016
https://www.ptsecurity.com/upload/corporate/ww-en/analytics/Cobalt-Snatch-eng.pdf
2017年
https://www.ptsecurity.com/upload/corporate/ww-en/analytics/Cobalt-2017-eng.pdf
2017年11月28日
https://www.riskiq.com/blog/labs/cobalt-strike/
CVE-2017-0199
https://www.proofpoint.com/us/threat-insight/post/microsoft-word-intruder-integrates-cve-2017-0199-utilized-cobalt-group-target
2018年1月16日
魚叉網絡釣魚
https://www.riskiq.com/blog/labs/cobalt-group-spear-phishing-russian-banks/
西班牙逮捕
https://www.europol.europa.eu/newsroom/news/mastermind-behind-eur-1-billion-cyber-bank-robbery-arrested-in-spain
2018年5月28日
https://www.bleepingcomputer.com/news/security/cobalt-hacking-group-still-active-despite-leaders-arrest/
2018年7月31日
https://blog.talosintelligence.com/2018/07/multiple-cobalt-personality-disorder.html
2018年8月30日
https://www.bleepingcomputer.com/news/security/cobalt-hacking-group-tests-banks-in-russia-and-romania/?__cf_chl_jschl_tk__=479109126b4ffc3ab6db292220289bb98b7ccdda-1585704044-0-AWbi0mbZOgAmhqyrZidtpGZh70WK5wDV9X0Z4Gxv6nYgTOsIjD4YepHSMXC2v6lUGW00XvZAWVQYQ8vrJA8UBHOthwqMzMATVCTZzT5XLMRD99flGoXlwjH2OQCkDJr7eaOVCiXDDkRQYzPGWHL7AGlY3rjo4fqw1j5VQgv5rP9tfwgxddRCZNM2XYi_uR-L_dPUkKhjxCGihK48NgA2_gWyXaV18rjsa2wJpNljazrRu_s1HC3ILCbjilORsONtaxBOrUWj5Q7fonCWrXAr4DWspqw5MQgFrFJ9EMexKi_F9odaEjBNacTqod-bslmgLeyWb-vI0iryTRsRpGk9cMusug7b3xOYYroUkBSlB2mY
命令控制
https://threatpost.com/cobalt-group-targets-banks-in-eastern-europe-with-double-threat-tactic/137075/
https://blog.malwarebytes.com/threat-analysis/2019/10/magecart-group-4-a-link-with-cobalt-group/
2018年10月25日
https://www.cyberscoop.com/cobalt-group-pdfs-banks-palo-alto-networks-unit-42/
https://unit42.paloaltonetworks.com/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/
2018年12月11日
https://www.fidelissecurity.com/threatgeek/threat-intelligence/cobalt-group-the-101/
https://threatpost.com/cobalt-threadkit-malware/139800/
https://otx.alienvault.com/pulse/5c1a2fbb1cc7a510f192ecc6
Cobalt Group資料
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章