Cobalt вновь начала использовать вредоносное ПО CobInt.
Российская киберпреступная группировка Cobalt (она же FIN7 и Carbanak) вернулась к использованию вредоносного ПО CobInt, показал анализ недавних атак, зафиксированных экспертами компании Proofpoint.
Группировка известна своими атаками на финучреждения по всему миру, однако в сферу ее интересов также входят правительственные организации, телеком/интернет-провайдеры, поставщики услуг, производственные предприятия и компании в развлекательной сфере и области здравоохранения.
С июля текущего года группировка использовала многоэтапное вредоносное ПО CobInt во всех своих операциях, осуществляемых с помощью вредоносных документов Microsoft Office, содержащих эксплоит ThreadKit. Злоумышленники эксплуатируют ряд уязвимостей в Office, в частности CVE-2017-8570 , CVE-2017-11882 и CVE-2018-0802 .
Со 2 августа по 4 сентября 2018 года исследователи зафиксировали четыре атаки с использованием CobInt. Вредонос представляет собой написанный на языке С загрузчик, который может быть разбит на три этапа: первоначальный загрузчик, загружающий основной компонент, собственно основной компонент и дополнительные вредоносные модули. Цель первой стадии - загрузить основной компонент (загружается в форме DLL-библиотеки), который, в свою очередь, загружает с управляющего сервера и запускает различные дополнительные модули. Один из них отправляет на сервер скриншоты, второй - список работающих процессов. Коммуникация с C&C-сервером осуществляется по HTTPS.
«CobInt - дополнительное свидетельство того, что злоумышленники все чаще обращаются к скрытым загрузчикам для первичного заражения системы и только потом устанавливают дополнительное вредоносное ПО на целевые системы. По мере того, как защита становится совершеннее, киберпреступники должны использовать инновационные решения, чтобы увеличить возврат инвестиций во вредоносное ПО и векторы заражения», - отметили специалисты.