Хакеры Cobalt рассылали письма от имени ЕЦБ и Лаборатории Касперского

Как сообщает ТАСС, в базу рассылки Cobalt входят как минимум 86 различных организаций по всему миру: банки, страховые компании, СМИ, лизинговые компании, строительные компании, интернет-провайдеры, юридические конторы, интеграторы в СНГ, США, Европе, Азии.

В частности, как сообщает ТАСС, первая волна фишинговой рассылки Cobalt была зафиксирована 23 мая в 13:21 по мск. Злоумышленники отправляли письма от имени "Лаборатории Касперского". Рассылка шла с домена kaspersky-corporate.com. Он "показал прямую связь с лицом, на которое были ранее зарегистрированы домены для атак Cobalt", отметили в Group-IB.

В данных письмах содержались жалобы на английском языке якобы об обнаружении активности, нарушающей существующее законодательство.

"Получателю предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, "антивирусная компания" угрожала наложить санкции на web-ресурсы получателя", - пояснили эксперты. Чтобы скачать это письмо, пользователю нужно было перейти по ссылке, а это привело бы к заражению компьютера сотрудника банка.

В "Лаборатории Касперского" рассказали ТАСС, что на прошлой неделе действительно была зафиксирована фишинговая рассылка, маскирующаяся под уведомления для пользователей.

"На данный момент домены, с которых распространялась рассылка, заблокированы, вредоносное программное обеспечение изначально детектировалось и блокировалось защитными решениями "Лаборатории Касперского", пояснили в компании. При этом в "Лаборатории Касперского" отметили, что упоминание известного бренда в подобных случаях - очень распространенная практика. "Часто фальшивые письма и фальшивые сайты во всем повторяют дизайн настоящих, чтобы ввести в заблуждение невнимательных пользователей: могут маскироваться имена файлов, сервера управления и др.", - добавили в компании.

Вторая масштабная вредоносная рассылка Cobalt была зафиксирована 28 мая около 13:00 по мск. Хакеры отправляли письма от имени Центрального европейского банка. В письме содержалась ссылка на документ с разрешением .doc, в котором якобы содержалось описание финансовых рисков. На самом деле этот документ Word эксплуатировал уязвимость CVE-2017-11882.

"В результате открытия эксплойта и успешной эксплуатации уязвимости произойдет заражение и первичное "закрепление" вредоносной программы в системе банка с помощью уникального загрузчика JS-backdoor, уникальной разработки Cobalt", - уточнили в Group-IB.

Эксперты считают, что жертвами кибератак могли стать не только банки России и СНГ, так как оба письма составлены на английском языке. При этом качество текста оценено на высоком уровне.

"Например, в атаке 23 мая текст на английском языке стилизован под "юридическую жалобу", а поддельный сайт kaspersky-corporate.com также отличался более высоким уровнем качества, что нехарактерно для Cobalt. Эти и другие признаки вновь указывали на вероятность проведения оставшимися на свободе членами группы Cobalt совместной операции с другими преступными группами, в частности, Anunak", - отмечается в сообщении.

"Мы убеждены в том, что коллаборация Cobalt и Anunak, позволившая установить своего рода антирекорды этим группам в части реализации наиболее сложных атак, завершившихся выводом сотен миллионов долларов, еще не исчерпала себя. Для того чтобы дать возможность бизнесу и регуляторам рынка принять превентивные меры против действий этих преступников, мы публикуем технические индикаторы для защиты от фишинга, для идентификации инфраструктуры и методов, до сих пор используемых этими преступниками", - пояснил CTO Group-IB Дмитрий Волков.

Группировка Cobalt - одна из самых агрессивных русскоговорящих хакерских групп в мире, действующая с 2013 года. Одной из самых ярких особенностей Cobalt стали хищения с использованием системы межбанковских переводов SWIFT. Первое такое хищение хакеры совершили весной 2016 года в банке Гонконга, затем на Украине. Они также организовали первую атаку через SWIFT в истории отечественной банковской индустрии - она произошла в декабре 2017 года в российском банке.

По материалам ТАСС