Upozorenje: Cobalt grupa koja napada banke sve je bliže Srbiji
Grupa je od ranije poznata po napadima u kojima su banke oštećene za preko milijardu dolara!
Cobalt grupa je do sada izvršila napade na preko 100 banaka u preko 40 zemalja, a prosečan iznos novca koji su uzimali je oko 10 miliona evra. Novac su izvlačili preko bankomata i kompromitovanjem SWIFT sistema. Procenjuje se da je ukupna šteta koje su banke pretrpele zbog aktivnosti ove grupe veća od milijardu dolara.
Grupa postoji od 2016. godine, a poznata je i kao Carbanak hakerska grupa. Prema podacima Group-IB, od 2016. do sad Cobalt grupa je uspešno napadala banke u Rusiji, Bugarskoj, Rumuniji, Moldaviji, Belorusiji, Poljskoj i drugim državama.
U najnovijim napadima hakeri koriste tzv. duplu pretnju – dva pravca infekcije i dva C&C servera. Dve do sada poznate mete su NS Bank iz Rusije i Banca Comercială Carpatica/Patria Bank iz Rumunije.
Opravdano se veruje da ovo nije kraj napada, a s obzirom na region koji ciljaju, samo je pitanje trenutka kada će da napadnu i Srbiju. Bankama u Srbiji savetuje se da obrate dodatnu pažnju na bezbednost.
Napadači koriste klasičnu spear-phishing tehniku slanja malicioznih mejlova, pretvarajući se da su partneri ili finansijski vendori. Ono što je neuobičajeno u ovom napadu je što phishing poruka sadrži dva maliciozna URL-a koji vode ka dva različita payloada koja su povezana sa dva jedinstvena C2 servera iza kojih stoji Cobalt grupa. Većina sadržaja u imejlu deluje benigno (VirusTotal ga ne detektuje kao maliciozni), osim linka u poruci.
Analiza pretnje
Prvi URL je povezan sa malicioznim Word dokumentom koji sadrži zamaskirane VBA skripte, a drugi je backdoor binary sa .jpg ekstenzijom koji se zove CobInt/COOLPANTS.
Dokument iz URL-a pokreće Word dokument sa VBA skriptama koji, jednom kada se omogući macro, nastavlja ciklus infekcije. VBA skripta sastavlja delove za cmd[.]exe komandu koja pokreće cmstp[.]exe sa INF fajlom što omogućava potencijalno zaobilaženje AppLockera. INF fajl zatim šalje signal za download payloada koji cmstp.exe izvršava. Taj payload je XML fajl koji otpakuje JavaScript backdoor dropper koji je osnova za dodatni payload. Poznat je kao more_eggs, što se u prošlosti povezivalo sa Cobalt grupom.
Dakle, ovaj pravac napada (sa malicioznim Word dokumentom) nije moguće izvesti bez dozvole da se pokrene macro. Zbog toga onemogućite pokretanje macroa u Office dokumentima.
Što se tiče drugog pravca infekcije, odnosno drugog URL-a, on vodi ka slici koja se navodno odnosi na SEPA (Inicijativa za integraciju plaćanja u EU), ali u stvari preusmerava korisnika ka izvršnom fajlu koji na kraju vodi ubacivanju špijunskog backdoora koji ima i sposobnost komunikacije sa C2 serverom radi ubacivanja dodatnih payloada ili skripti. Pomenuta slika, odnosno .jpg fajl je hxxp://sepaeuropa[.]eu/transactions/id02082018.jpg.
Analizirani uzorak je prepun junk koda koji provodi CPU cikluse pre nego što se demaskira. Rutina raspakivanja je takva da se umesto datog koda u memoriji zapisuje drugi exe fajl koji izvršava planirane operacije.
Kao što je viđeno i u ranijim napadima Cobalt grupe, BAT skripta pokreće standardni Windows proces koji omogućava zaobilaženje AppLockera, kao i download i pokretanje SCT ili COM objekata korišćenjem standardnog Windows procesa regsvr32[.]exe.
Aktivnosti Cobalt grupe se nastavljaju
Korišćenje backdoora znači da napadači žele da obezbede prisustvo u organizaciji koja je meta, iako to samo po sebi ne daje odgovor šta je krajnji cilj. Što se tiče napada na bankomate, tu je u pitanju dugoročna prevara, jer je potrebno vreme i napor da se koordiniraju velike operacije podizanja gotovine. Što se tiče SWIFT napada u prošlosti, oni su izvođeni brže i sa velikim uspehom. Moguće je da napadači još uvek ne znaju kako da ukradu sredstva iz ciljane organizacije i da žele da obezbede uporište kako bi isplanirali sledeće korake.
Kada napadači upadnu u sistem velike finansijske institucije, uvek postoji opasnost od potencijalno velike pljačke. Ponekad je potrebno da napadači zaobiđu nekoliko slojeva odbrane i obave brojne lateralne kretnje u mreži pre nego što naiđu na osetljive sisteme, odnosno mogućnost da ukradu novac.
Grupa koristi dva pravca infekcije najverovatnije da bi povećala šanse za uspeh (ako žrtva ne klikne na jedan, možda će kliknuti na drugi link). To samo po sebi nije nova taktika, ali jeste nova kada je u pitanju Cobalt grupa.
Novi napadi su dokaz da grupa nema nameru da stane, iako su ranije uhapšene 4 osobe za koje se veruje da su pripadnici ove grupe (jedna od njih je najverovatnije vođa grupe).
Na osnovu svega viđenog, nema sumnje da će grupa nastaviti sa napadima na banke u Istočnoj Evropi i Rusiji, tako da je oprez za banke u Srbiji i i više nego preporučljiv.
Modus operandi Cobalt grupe
Napad počinje spear-phishing tehnikom kojom grupa pokušava da dobije pristup digitalnoj infrastrukturi banke. Zatim slede aktivnosti špijuniranja (izviđanja) i lateralna kretnja u mreži, što predstavlja karakteristično ponašanje Cobalt grupe. Kada prikupe dovoljno informacija o načinu funkcionisanja i operativnoj rutini banke i kada steknu pristup koji imaju zaposleni na višim pozicijama, onda su u stanju da izvrše transfere novca, ukradu novac sa bankomata i kompromituju SWIFT i druge platne sisteme.