WF曲速未來表示：根據本月觀察到的新的魚叉式網絡釣魚活動中，Cobalt黑客組織針對俄羅斯和羅馬尼亞的銀行，其電子郵件包含指向兩個不同命令和控制服務器的兩個有效負載。

Cobalt是一個網絡犯罪團伙，至少在2016年開始運營，專門針對金融機構。根據歐洲刑警組織的數據，該組織與全球至少100家銀行的網絡攻擊有關，從中偷走了大約10億歐元。

雖然據稱這名頭目已于今年在西班牙被捕，并且有三名據信是黑客組成員的人 在本月初被指控，但該組仍在繼續運作。

網絡釣魚電子郵件使用類似于金融組織的域

WF曲速區消息：在8月13日發現了一個帶有Cobalt簽名的新廣告系列。目標是俄羅斯的NS銀行。ASERT的威脅情報合作伙伴Intel471發現了針對羅馬尼亞Carpatica Commercial Bank/Patria Bank的另一項活動。

發送給受害者的電子郵件據稱來自與金融業有關的其他機構，這是一種旨在增加在附件中發布武器化文件的信心的策略。

經過研究人員檢查了域名rietumu [.] me，它是一個連接到Cobalt活動的命令和控制（C2）服務器，并找到了一個電子郵件地址，導致他們在8月1日創建了五個新域，其中一個是inter -kassa [.]融為一體。

專家發現的其他領域，顯然試圖冒充金融機構是：

1.compass [.]plus-可能冒充BBVA Compass Bancshares或Compass Savings Bank

2.eucentalbank [.]com-可能冒充歐洲中央銀行

3.eurocentalbank [.]com-可能冒充歐洲中央銀行

4.unibank [.]信貸-可能冒充全球任何一家Unibank金融機構

Interkassa是一家位于佐治亞州（該國）的合法支付處理系統，提供超過50種支付工具，用于多種貨幣的在線交易。

尋找與此域名相關的樣本，ASERT為NS Bank員工發現了一個網絡釣魚郵件。與“規范”相反，它包含兩個指向惡意文件的鏈接：一個鏈接到帶有混淆VBA腳本的Word文檔，另一個用于下載擴展名更改為JPG的二進制文件。

電子郵件提供兩個武器化文件的鏈接

武器化的Office文件需要具有運行宏的權限才能執行VBA腳本。但是如果啟用了宏，則會觸發一個復雜的操作，最后下載并運行與后者鏈接到Cobalt組的功能非常相似的JavaScript后門。

在NS Bank的電子郵件中偽裝成JPEG圖像的可執行文件來自hxxp：// sepa-europa [.] eu，一個假裝與單一歐元支付區域（SEPA）相關的域名，這是一個更容易跨境的計劃在歐盟空間內付款。

“UPX解壓縮，是一個可執行文件，而不是一個圖像文件。樣本中充斥著垃圾代碼，在進行去混淆自身之前花費了CPU周期。解包例程涉及用另一個可執行文件覆蓋自己的內存，”ASERT解釋道。

在分析了這個二進制文件之后，研究人員確定它是CobInt/COOLPANTS的一種變體-在過去由Cobalt黑客操作的C2上發現的偵察后門。

“在一封電子郵件中使用單獨的感染點和兩個獨立的C2會使這個電子郵件變得特別。人們可以推測這會增加感染幾率，”ASERT總結道。

羅馬尼亞銀行的魚叉釣魚員工

針對Carpatica商業銀行的魚叉式網絡釣魚活動現已與Patria Bank合并，提供的惡意軟件共享相同的程序數據庫，其中包含來自域名rietumul [.] me的樣本，與Cobalt集團相關聯。

網絡釣魚電子郵件的標題顯示，攻擊者再次使用SEPA作為惡意活動的掩護，使用SEPA Europe作為郵件的發件人。

目前還不清楚Intel471何時收到網絡釣魚郵件，但兩周前羅馬尼亞情報局（SRI）宣布它已經掌握了針對羅馬尼亞金融機構的網絡攻擊的可靠信息。

根據來文，這些事件發生在6月到8月之間，這個時間框架與兩家公司研究人員發現的活動重疊。

具有信息數據分析顯示，黑客使用的攻擊工具包括Cobalt Strike，這是一種用于滲透測試的軟件。各種安保公司的大量報告證實了這一點，該報告審查了該集團的活動。

網絡釣魚就是這樣開始的：

區塊鏈安全公司WF曲速未來提醒：魚叉式網絡釣魚是攻擊的初始階段，該組織試圖在銀行的數字基礎設施中獲得立足點。Cobalt小組的后續活動通常包括偵察和在網絡內橫向移動。

在他們了解目標如何運作并獲得與高級員工相同的訪問權限之后，黑客可以執行匯款，命令ATM，以及從支付網關和SWIFT系統竊取資金。