Киберпреступная группа Cobalt снова была замечена в незаконной онлайн-активности. На этот раз злоумышленники атакуют банки России и Румынии целевым фишингом. Во вредоносных электронных письмах содержатся две злонамеренные составляющие, которые связываются с двумя разными командными серверами C&C.
Команда Arbor Networks ASERT 13 августа зафиксировала новую вредоносную кампанию, которая носила характерные признаки действий группировки Cobalt. Первой целью стал российский Банк Национальный стандарт.
Тут же была обнаружена и другая злонамеренная активность, в ходе которой атаковали уже банк Carpatica Commercial Bank/Patria Bank в Румынии.
Cobalt использовали стандартную технику фишинга — письма были замаскированы под отправленные другими финансовыми учреждениями уведомления, что увеличивало шанс того, что сотрудники откроют их и запустят вложения.
Исследователи изучили домен rietumu[.]me, который представляет собой C&C-сервер, используемый Cobalt, и нашли адрес электронной почты, который привел еще к пяти доменам, созданным 1 августа. Одним из них был inter-kassa[.]com.
Другие домены также пытались выдать себя за финансовые учреждения. Вот список обнаруженных экспертами доменов:
- compass[.]plus — позиционирует себя как Compass Savings Bank;
- eucentalbank[.]com — маскируется под Европейский центральный банк;
- europecentalbank[.]com — также маскируется под Европейский центральный банк;
- unibank[.]credit — маскируется под Unibank.
По словам исследователей, некоторые электронные письма содержали ссылки на вредоносные файлы. Один из этих файлов является документом Word с обфусцированными VBA-скриптами, а другой — бинарный файл, чье расширение изменено на JPG.
Напомним, что в мае Group-IB раскрыла подробную информацию о киберпреступниках Cobalt.
