حملات گروه Cobalt به موسسات مالی

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

حملات گروه Cobalt به موسسات مالی

q1066
گروهی از هکرها در حال هدف قرار دادن موسسه‌های مالی هستند و با قرار دادن فایل‌های PDF در ایمیل‌ها از شناسایی توسط سیستم‌های امنیتی جلوگیری می‌کنند. در حملات، کارمندان بانک‌ها مورد هدف قرار گرفته‌اند تا روی لینک‌های مخرب کلیک کنند.
به گفته پژوهشگران Palo Alto، این هکرها بخشی از گروه Cobalt هستند که فایل‌های PDF را برای کارمندان ارسال می‌کنند. این فایل‌ها حاوی اکسپلویت نیستند، اما در آنها لینک‌هایی قرار داده شده است که از طریق حملات مهندسی اجتماعی، قربانیان وادار به کلیک بر روی آنها می‌شوند و فایل‌های حاوی ماکروهای مخرب دانلود می‌کنند.
با وجود دستگیری رهبر گروه Cobalt در اوایل سال جاری، این گروه همچنان فعال بوده است. در ماه آگوست این گروه دو بانک را در رومانی و روسیه هدف قرار داده است.
در ادامه فرایند حمله، قربانی یک فایل Word مخرب دانلود می‌کند که شناسایی آن بندرت اتفاق می‌افتد. ماکرو مخرب از cmstp.exe استفاده می‌کند تا اسکریپتی را اجرا کند. از این تکنیک برای دور زدن AppLocker استفاده و در ادامه بدنه بدافزار منتقل می‌شود.
پژوهشگران Palo Alto، کدهای ماکرو استفاده شده در حملات را بررسی کرده‌اند تا نحوه دور زدن سیستم‌های دفاعی توسط آنها را بررسی کنند. پژوهشگران بخش‌های مشترکی را در کدهای ماکروهای فایل‌های PDF کشف کردند، از جمله داده‌های نشست بدست آمده یا اطلاعات ثبت در WHOIS.

نشانه‌های آلودگی (IoC):
پیام‌های Outlook:

• ۴۷۷c۴۳۲۳۸۲c۹۷۶۴۸۷۶۷ee۴۵c۲۶۴f۰f۲aaf۸d۳d۹f۹ed۵۴۷d۸۴۱۸db۱۲b۷c۱۴۰۷۶۰
• e۰f۱dbc۱۰۰۸۸b۶۸f۷۷۲ee۷۳b۰۷۸۵c۳d۶۷b۸e۵f۱۴۷b۶۸۷۹۱۱۶۱۳d۱۶۳ad۵ebda۶d
• e۶a۱۷۶۱۷eaa۹۸c۴۹bfb۲c۹d۳d۰۹۰ffea۶۹bb۰c۱۸۶۴c۴۳۸۶۱bdf۸d۰۲۷۳۳۹ea۸۴۷

اسناد آفیس:

• ۰۲۰ba۵a۲۷۳c۰۹۹۲d۶۲faa۰۵۱۴۴aed۷f۱۷۴af۶۴c۸۳۶bf۸۲۰۰۹ada۴۶f۱ce۳b۶eee
• ۸۰۰۴۶۰۱c۰۸۹۸۳۴۲۰۴۰۸d۲۷۸۴e۲a۴aa۷۹de۴۲۶d۴۱a۰۹۷۲۶a۸۸۴edcb۲۱f۸۳ee۷f۸
• d۸a۲۳۸۴a۵۱cd۵۹f۶۳۹۰e۶a۴fcb۰۴b۵۱۳۵۸cdbd۵e۰۴cae۵be۲۳daae۵۴۸c۳۰۶a۷۳
• ۱۶۱ba۵۰۱b۴ea۶f۷c۲c۸d۲۲۴e۵۵e۵۶۶fef۹۵۰۶۴e۱ed۰۵۹d۸۲۸۷bc۰۷e۷۹۰f۷۴۰e۸
• ۶۲a۲۷۸۱۱۹d۷۳۲e۴c۸۳۹ee۰۷۴۵۵۳f۰۸۷۵۸۸a۹۰۴۰be۰۲۷bdf۹e۶۱۷۴۱۳c۶fd۲e۹af
• ۶۴۱d۶۹۲۳۸۶dab۵ca۶۰f۴c۶b۱da۰edecc۵c۳۴۷۳c۹a۷d۱۸۷dad۶۰۹۸۷۸۶۴۰۴۷۸۰a۳
• ۰۷a۳۳۵۵f۸۱ff۶۹a۱۹۷c۷۹۲۸۴۷d۰۷۸۳bfc۳۳۶۱۸۱d۶۶d۳a۳۶e۶b۵۴۸d۰dbd۹f۵a۹a
• ۱۶۱ba۵۰۱b۴ea۶f۷c۲c۸d۲۲۴e۵۵e۵۶۶fef۹۵۰۶۴e۱ed۰۵۹d۸۲۸۷bc۰۷e۷۹۰f۷۴۰e۸
• ۱۲ecb۶b۳۷۸۰cd۱۹ea۸۴f۶e۸۴e۸۱۶a۷۰۱e۸۲۳۱۴۴۱bf۹۰۱۴۵۴۸۱baa۰۶۴۸۱۳۹e۰۰۱
• a۶f۹۴۱fcec۰۱fb۰۰۶fc۵۱df۹۶۳۹۶aeeb۸۲۶cdf۳۸۶۴۷۵۶۶۶۹e۱۹cb۱۴۵fe۴۱۶۹۲f
• ۱۹dc۹b۹۳۸۷۰ddc۳beb۷fdeea۲۹۸۰c۹۵edc۴۸۹۰۴۰e۳۹۳۸۱d۸۹d۰dfe۰a۸۲۵a۱۵۷۰
• cb۵۶۴۴bd۶۷۰dcd۹caf۵۱۸۵ebe۳۹۶۹۹۶e۵۱۴ed۱d۹۳۹۸۲۱۵۷۱۸۶۶۱۱۱۳۵aea۷۹bd۳
• a۰۱۱۱۹۷۷c۷۹f۴eb۳۰۵۱۱f۲۲۰۵۵b۵۴e۴e۹۷۳c۰۵۰۱۲۴۰f۳ba۴۶۲۶۹۱b۱b۴۹۹۹d۵۶۱

اسناد PDF:

• ۳a۷۵۲۵ffa۵۷۱۷۷۵aca۴۵۵۵۱ebd۲c۱۹۲d۹b۸ed۴۵db۱a۶۱bdd۸۳۹۸d۹۱db۸۸۵d۷a۲
• ۱d۰aae۶cff۱f۷a۷۷۲fac۶۷b۷۴a۳۹۹۰۴b۸b۹da۴۶۴۸۴b۴ae۸b۶۲۱a۶۵۶۶f۷۷۶۱d۱۶
• ۱c۱a۶bb۰۹۳۷c۴۵۴eb۳۹۷۴۹۵eea۰۳۴e۰۰d۱f۷cf۴e۷۷۴۸۱a۰۴۴۳۹afbc۵b۳۵۰۳۳۹۶
• ۱۸۷e۰d۹۱۱cd۰۳۹۳caad۱۳۶۴ded۱c۳۹۴۲۵۷cd۱۴۹۸۹۸b۳۱f۹۷۱۸c۷c۶۳۱۹af۷۹۸۱۸
• ۹۸۸d۴۳۰ce۰e۹f۱۹۶۳۴cf۷۹۵۵eac۶eb۰۳e۳b۷۷۷۴b۷۸۸۰۱۰c۲a۹۷۴۲b۳۸۰۱۶d۱ebf
• ۸۵۲f۱۱e۵۱۳۱d۳dab۹۸۱۲fd۸ce۳cd۹۴c۱۳۳۳۹۰۴f۳۸۷۱۳ff۹۵۹f۹۸۰a۱۶۸ef۰d۴ce
• ۹d۶fd۷۲۳۹e۱baac۶۹۶c۰۰۱cabedfeb۷۲cf۰c۲۶۹۹۱۸۳۱۸۱۹c۳۱۲۴a۰a۷۲۶e۸fe۲۳
• ۵ac۱۶۱۲۵۳۵b۶۹۸۱۲۵۹cfac۹۵efe۸۴c۵۶۰۸cf۵۱e۳a۴۹b۹c۱e۰۰c۵d۳۷۴f۹۰d۱۰b۲
• df۱۸e۹۹۷a۲f۷۵۵۱۵۹f۰۷۵۳c۴e۶۹a۴۵۷۶۴f۷۴۶۶۵۷b۷۸۲f۶d۳c۸۷۸afb۸befe۲b۶۹
• a۵f۲ad۰۸b۵afdbd۵۳۱۷b۵۱d۰d۲dd۸f۷۸۱۹۰۳۵۲۲۸۴۴c۷۸۶a۱۱a۰۹۵۷a۸۱abfd۲۹e
• ۶۶bd۵e۴۹۲۵۳۱adf۶۷۵۸۹۷de۵de۸aee۴۲۷b۸۹۶c۹b۲c۴۰۶daff۰۰۶ce۶a۴e۸aa۸۱۰
• ۱fd۹ba۸eb۹۷bf۰۳cd۴d۳cbaac۸۶۷۵۹۵c۹۲۰f۱f۳۶ebfbe۹c۱fc۷۶۵۵۸ea۵e۰ece۵
• d۵۳۲۸e۵۱۹daadaf۱۵۲۰۶۱۹da۱f۲۴f۶d۸۱d۲۳c۸۴۲۲۲۶۴۰۰۵۸bbb۳۶۶۷۵۲be۹۳۵۳۷
• ۹۴c۹fa۸۱۲cebb۷۳۳eda۳a۴eed۳۳a۰a۴۹b۶۰c۲۰۷bb۰f۹۱۵۳c۰d۰۸۷۲۴c۸b۳۰f۵۷۸
• ۰۷f۶۰۶۱۱۸۳۶c۰a۶۷۹c۰fb۲e۲۵f۵caeb۴d۲۹cd۹۷۰۹۱۹d۴۷f۷۱۵۶۶۶b۸۰be۴۶f۴۵c
• ۷b۹c۱۸۳dc۴۰c۸d۷۶۵e۹۸۰۲۴f۸fb۶۵۶۵c۶۹dee۲bb۹۷۹۵۷c۵ba۷۵۴a۲۳d۲۶۹۸bf۷a
• ۱۹۵۵۸۰b۷۸e۱۴۴f۶۶ac۱f۹be۲b۹۲۷d۷۸۲۸ed۱dc۳۹۷۴dc۱۸۹۷e۰ed۵۹a۹۶ac۸f۴e۱
• ۴۴۴c۶۳bb۷۹۴abe۳d۲b۵۲۴e۰cb۲c۸dcc۱۷۴۲۷۹b۲۳b۱bce۹۴۹a۷۱۲۵df۹fab۲۵c۱c
• ۰۷f۶۰۶۱۱۸۳۶c۰a۶۷۹c۰fb۲e۲۵f۵caeb۴d۲۹cd۹۷۰۹۱۹d۴۷f۷۱۵۶۶۶b۸۰be۴۶f۴۵c
• ۷۶۲۹dfcc۹۳۴۵۵۷۸۶۲۶a۲۵۰afb۶۷۰۲۷۹۵۵c۶f۷۸dd۸۰b۷۷۱c۲۹۶۸c۵be۰d۴b۱۱c۵۹
• ۱۹۵۵۸۰b۷۸e۱۴۴f۶۶ac۱f۹be۲b۹۲۷d۷۸۲۸ed۱dc۳۹۷۴dc۱۸۹۷e۰ed۵۹a۹۶ac۸f۴e۱
• b۹۲۷۰۷ebfaa۱۵۲۲۵۰۶۴ff۳a۱a۷d۲۷۹b۳dde۱e۷۰۲۰۰e۳۷d۰۰۷۴e۹acc۱۶۰cb۱۶a۷
• ebf۳۰۹ecd۶c۷a۰۹۱۱e۱۲۵۲d۹e۹۰fd۳۰۲bfbd۳e۱d۲۶۷۹۷۷۲۰۲۵bdb۹cc۳۸bca۱۴۱
• ۵۷f۶۵ecb۲۳۹۸۳۳e۵a۴b۲۴۴۱e۳a۲daf۳۵۱۳۳۵۶d۴۵e۱d۵c۳۱۱baeb۳۱f۴d۵۰۳۷۰۳e

دامنه‌ها:

• alotile[.]biz
• fundsxe[.]com
• s۳[.]sovereigncars[.]org[.]uk
• safesecurefiles[.]com
• document[.]cdn-one[.]biz
• mail[.]halcyonih[.]com
• transef[.]biz

دامنه‌های ثبت شده با grigoredanbanescu:

• arubrabank[.]com
• outlook-۳۶۸[.]com
• usasecurefiles[.]com
• safesecurefiles[.]com
• ms-server۸۳۸[.]com
• msoffice-۳۶۵[.]com
• total-share[.]biz
• bank-net[.]biz
• cdn-one[.]biz
• total-cloud[.]biz
• web-share[.]biz
• cloud-direct[.]biz
• n-document[.]biz
• my-documents[.]biz
• firstcloud[.]biz
• yourdocument[.]biz
• xstorage[.]biz
• safe-cloud[.]biz
• via۲۴[.]biz
• zstorage[.]biz
• webclient۱[.]biz
• bnet۱[.]biz
• firstcloud[.]biz
• mycontent[.]biz
• total۷[.]biz
• freecloud[.]biz
• contents[.]bz
• judgebin[.]bz

URLها:


• hxxp://www[.]pedidoslalacteo[.]com[.]ar/Proof-of-payment-۱۹,۰۹.۲۰۱۸.doc
• hxxps://s۳[.]sovereigncars[.]org[.]uk/inv۰۰۵۱۸۹.pdf
• hxxps://alotile[.]biz/Document۰۹۲۰۱۸.doc
• hxxps://goo[.]gl/mn۷iGj
• hxxps://document[.]cdn-one[.]biz/doc۰۰۰۵۱۲.pdf
• hxxps://safesecurefiles[.]com/doc۰۴۱۷۹۱.pdf
• hxxp://www[.]mky[.]com/Proof-of-payment-۱۹,۰۹.۲۰۱۸.doc
• hxxps://mail[.]halcyonih[.]com/uploads/doc۰۰۴۷۱۸۵۳۸.pdf
• hxxps://e-dropbox[.]biz/doc۰۵۸۹۱۵۶۵۴e.pdf
• hxxp://www[.]bit[.]do/etaYk
• hxxps://cloud-direct[.]biz/doc۰۰۴۷۵۸۱۶۷۸.pdf
• hxxps://transef[.]biz/Doc۱۰۲۰۱۸.doc

نام فایل‌های مشاهده شده:

• Document۰۸۲۰۱۸.doc
• REMITTER REFERENCE PMT.pdf
• Aml_S۰۶۸۰۲۶۰A۷۹۳۰۱.pdf
• CIT۱۸۰۱۲۶-۰۰۰۷۶۸.pdf
• AMENDMENT.pdf
• Citi۷۲۰TEME۱۷۱۴۴۰۰۰۸_Query.pdf
• Query _S-۱۷۰۵۲۶-۰۰۵۳۹۹.pdf
• Document۰۹۲۰۱۸.doc
• Proof of payment ۱۹,۰۹.۲۰۱۸.doc
• Document۰۹۲۰۱۸.doc
• doc۰۰۵۶۸۱.doc

منابع:
/https://researchcenter.paloaltonetworks.com/۲۰۱۸/۱۰/unit۴۲-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed
https://www.scmagazineuk.com/cobalt-gang-targets-banks-financial-service-providers-sneaking-pdfs-past-staff/article/۱۴۹۷۴۰۱


مرجع : مرکز مدیریت راهبردی افتا ریاست جمهوری