Содержание
Цели:
- Кража денежных средств
Общее описание
Киберпреступная группа Cobalt существует с 2016 года и атакует организации кредитно-финансовой сферы c целью кражи денежных средств через взлом банкоматов, карточный процессинг, различные платежные системы (SWIFT, АРМ КБР). Предположительно, некоторые ее участники были членами существовавшей ранее группы Carbanak. По оценкам ФинЦЕРТ, ущерб от атак группы Cobalt в России в 2017 году превысил 1 млрд рублей. После ареста одного из лидеров группы в 2018 году группа продолжила свою активность. Один из громких взломов, к которым была причастна группа, — взлом системы быстрых платежей Unistream.
Инструменты
- Cobalt Strike
- CobInt
- CoolPants
- ComDll dropper
- JS-backdoor(more_eggs)
Атакуемые отрасли
- Финансовая отрасль
Атакуемые страны
- Северная Америка
- Европа
- Центральная Азия
- Юго-Восточная Азия
Альтернативные названия группы
- Cobalt Gang
- Cobalt Spider
Отчеты Positive Technologies и других исследователей
- https://www.ptsecurity.com/upload/corporate/ww-en/analytics/Cobalt-Snatch-eng.pdf
- https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/cobalt-obnovlenie-tactic-i-instrumentov/
- /upload/corporate/ww-en/analytics/Cobalt-2017-eng.pdf
- https://blog.talosintelligence.com/2018/07/multiple-cobalt-personality-disorder.html
- https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-part-3-cobint
- https://blog.morphisec.com/cobalt-gang-2.0
- https://blog.trendmicro.com/trendlabs-security-intelligence/cobalt-spam-runs-use-macros-cve-2017-8759-exploit/
- https://www.group-ib.ru/resources/threat-research/cobalt.html
- https://www.group-ib.com/blog/renaissance
Тактики из MITRE ATT&CK, использованные группой
| ID | Название | Описание |
|---|---|---|
| Initial Access | ||
| T1566.001 | Phishing: Spearphishing Attachment | Группа Cobalt рассылает электронные письма с вредоносными вложениями в формате DOC, XLS, RTF, PDF, LNK, CHM или ZIP |
| T1566.002 | Phishing: Spearphishing Link | Группа Cobalt рассылает электронные письма с вредоносными ссылками |
| Execution | ||
| T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа Cobalt использует cmd.exe через JavaScript-бэкдор |
| T1559.002 | Inter-Process Communication: Dynamic Data Exchange | Группа Cobalt рассылает документы с вредоносными OLE-объектами |
| T1203 | Exploitation for Client Execution | Группа Cobalt использовала следующие уязвимости в своих атаках:
|
| T1059.001 | Command and Scripting Interpreter: PowerShell | Группа Cobalt использует в атаках Powershell |
| T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа Cobalt использует в атаках интерфейс командной строки Windows |
| T1059.005 | Command and Scripting Interpreter: Visual Basic | Группа Cobalt использует документы с VBA-макросами |
| T1059.007 | Command and Scripting Interpreter: JavaScript/JScript | Группа Cobalt использует в атаках JScript |
| T1204.001 | User Execution: Malicious Link | Группа Cobalt пытается заставить пользователей по вредоносной ссылке в фишинговом письме для загрузки вредоносного файла |
| T1204.002 | User Execution: Malicious File | Группа Cobalt пытается заставить пользователей запустить вредоносный файл из фишингового письма |
| Persistence | ||
| T1037.001 | Boot or Logon Initialization Scripts: Logon Script (Windows) | Группа Cobalt закрепляется в системе через UserInitMprLogonScript |
| T1543.003 | Create or Modify System Process: Windows Service | Группа Cobalt закрепляется в системе через сервисы |
| T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Группа Cobalt может закрепиться в системе через реестр или папку STARTUP |
| T1053.005 | Scheduled Task/Job: Scheduled Task | Группа Cobalt может закрепиться в системе через задачи для планировщика |
| Privilege Escalation | ||
| T1068 | Exploitation for Privilege Escalation | Группа Cobalt использует эксплойты для повышения привилегий в зараженной системе |
| Defense Evasion | ||
| T1548.002 | Abuse Elevation Control Mechanism: Bypass User Access Control | Группа Cobalt обходит UAC |
| T1027 | Obfuscated Files or Information | Группа Cobalt обфусцирует код ВПО |
| T1055 | Process Injection | Группа Cobalt встраивает вредоносный код в доверенные процессы системы |
| T1218.003 | Signed Binary Proxy Execution: CMSTP | Группа Cobalt использует cmstp.exe для обхода AppLocker |
| T1070.004 | Indicator Removal on Host: File Deletion | Группа Cobalt удаляет свои дропперы с зараженных компьютеров для сокрытия следов |
| T1218.008 | Signed Binary Proxy Execution: Odbcconf | Группа Cobalt использует подписанную утилиту odbcconf.exe для исполнения вредоносных DLL-файлов |
| T1218.010 | Signed Binary Proxy Execution: Regsvr32 | Группа Cobalt использует regsvr32.exe для запуска вредоносных скриптов |
| T1218.011 | Signed Binary Proxy Execution: Rundll32 | Группа Cobalt использует rundll32.exe для запуска ВПО |
| T1220 | XSL Script Processing | Группа Cobalt использует msxsl.exe для запуска вредоносного JavaScript-кода из XSL-файла |
| T1112 | Modify Registry | Группа Cobalt модифицирует значения некоторых ключей реестра |
| Discovery | ||
| T1046 | Network Service Scanning | Группа Cobalt использует опенсорсные утилиты для разведки в сети |
| T1518.001 | Software Discovery: Security Software Discovery | Группа Cobalt с помощью JavaScript-бэкдора собирает информацию об установленных в системе антивирусах |
| Lateral Movement | ||
| T1021.001 | Remote Services: Remote Desktop Protocol | Группа Cobalt использует RDP для развития атаки внутри сети |
| Command And Control | ||
| T1105 | Ingress Tool Transfer | Группа Cobalt загружает дополнительные файлы на зараженную машину |
| T1219 | Remote Access Tools | Группа Cobalt использует в своих атаках утилиты для удаленного администрирования TeamViewer и Ammyy Admin |
| T1105 | Remote File Copy | Группа Cobalt использует публичные сайты как контрольные серверы для загрузки промежуточного ВПО |
| T1071.001 | Application Layer Protocol: Web Protocols | Группа Cobalt в своем ВПО использует протоколы HTTP И HTTPS |
