Cobalt Gang
最初,Cobalt小组专注于累积ATM:他们启动了一个程序,该程序将命令直接发送到分配器以发行现金。然后,该小组转移到银行中的其他系统,包括卡处理,支付系统,SWIFT。一旦获得了使用此类系统的权限,attack者就会研究如何进行支付和其他金融交易以重复进行支付。也就是说,诸如支付处理系统或SWIFT之类的服务实际上并未遭到hacker或“弱点”。实际的漏洞是银行和针对此类高级attack的防护方法。
有组织犯罪集团于2013年底启动了Anunak恶意软件活动,开始了高科技犯罪活动,该活动针对全球金融机构的金融转账和ATM网络。到第二年,相同的编码人员将Anunak恶意软件改进为更复杂的版本,称为Carbanak,一直使用到2016年。从那时起,犯罪集团集中精力,通过使用基于Cobalt Strike pentest测试软件的量身定制的恶意软件。
在所有这些attack中,都使用了类似的作案手法。犯罪分子会向银行员工发送带有恶意附件的鱼叉式网络钓鱼电子邮件,这些附件冒充了合法公司。一旦下载,恶意软件就使犯罪分子能够远程控制受害者的受感染机器,从而使他们能够访问内部银行网络并感染控制ATM的服务器。这为他们提供了兑现所需的知识。
ConInt或COOLPANTS
https://malpedia.caad.fkie.fraunhofer.de/actor/cobalt
Fin7和Cobalt
https://www.cyberscoop.com/fin7-cobalt-group-russian-hacking/
https://www.accenture.com/_acnmedia/PDF-107/Accenture-security-cyber.pdf#zoom=50
2016年11月
https://www.group-ib.com/blog/cobalt
Cobalt: logical attacks on ATMs
https://www.infosecurityeurope.com/__novadocuments/459980?v=636576764177630000
2016
https://www.ptsecurity.com/upload/corporate/ww-en/analytics/Cobalt-Snatch-eng.pdf
2017年
https://www.ptsecurity.com/upload/corporate/ww-en/analytics/Cobalt-2017-eng.pdf
2017年11月28日
https://www.riskiq.com/blog/labs/cobalt-strike/
CVE-2017-0199
https://www.proofpoint.com/us/threat-insight/post/microsoft-word-intruder-integrates-cve-2017-0199-utilized-cobalt-group-target
2018年1月16日
鱼叉网络钓鱼
https://www.riskiq.com/blog/labs/cobalt-group-spear-phishing-russian-banks/
西班牙逮捕
https://www.europol.europa.eu/newsroom/news/mastermind-behind-eur-1-billion-cyber-bank-robbery-arrested-in-spain
2018年5月28日
https://www.bleepingcomputer.com/news/security/cobalt-hacking-group-still-active-despite-leaders-arrest/
2018年7月31日
https://blog.talosintelligence.com/2018/07/multiple-cobalt-personality-disorder.html
2018年8月30日
https://www.bleepingcomputer.com/news/security/cobalt-hacking-group-tests-banks-in-russia-and-romania/?__cf_chl_jschl_tk__=479109126b4ffc3ab6db292220289bb98b7ccdda-1585704044-0-AWbi0mbZOgAmhqyrZidtpGZh70WK5wDV9X0Z4Gxv6nYgTOsIjD4YepHSMXC2v6lUGW00XvZAWVQYQ8vrJA8UBHOthwqMzMATVCTZzT5XLMRD99flGoXlwjH2OQCkDJr7eaOVCiXDDkRQYzPGWHL7AGlY3rjo4fqw1j5VQgv5rP9tfwgxddRCZNM2XYi_uR-L_dPUkKhjxCGihK48NgA2_gWyXaV18rjsa2wJpNljazrRu_s1HC3ILCbjilORsONtaxBOrUWj5Q7fonCWrXAr4DWspqw5MQgFrFJ9EMexKi_F9odaEjBNacTqod-bslmgLeyWb-vI0iryTRsRpGk9cMusug7b3xOYYroUkBSlB2mY
命令控制
https://threatpost.com/cobalt-group-targets-banks-in-eastern-europe-with-double-threat-tactic/137075/
https://blog.malwarebytes.com/threat-analysis/2019/10/magecart-group-4-a-link-with-cobalt-group/
2018年10月25日
https://www.cyberscoop.com/cobalt-group-pdfs-banks-palo-alto-networks-unit-42/
https://unit42.paloaltonetworks.com/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/
2018年12月11日
https://www.fidelissecurity.com/threatgeek/threat-intelligence/cobalt-group-the-101/
https://threatpost.com/cobalt-threadkit-malware/139800/
https://otx.alienvault.com/pulse/5c1a2fbb1cc7a510f192ecc6
原文地址:https://blog.51cto.com/antivirusjo/2485228