Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Хакерские группировки
  • Cobalt

Cobalt

Альтернативные названия: Cobalt Gang, Cobalt Spider
Атакуемые отрасли:
  • Финансовый сектор

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Кража денежных средств

Общее описание

Киберпреступная группа Cobalt существует с 2016 года и атакует организации кредитно-финансовой сферы c целью кражи денежных средств через взлом банкоматов, карточный процессинг, различные платежные системы (SWIFT, АРМ КБР). Предположительно, некоторые ее участники были членами существовавшей ранее группы Carbanak. По оценкам ФинЦЕРТ, ущерб от атак группы Cobalt в России в 2017 году превысил 1 млрд рублей. После ареста одного из лидеров группы в 2018 году группа продолжила свою активность. Один из громких взломов, к которым была причастна группа, — взлом системы быстрых платежей Unistream.

Инструменты

  • Cobalt Strike
  • CobInt
  • CoolPants
  • ComDll dropper
  • JS backdoor (more_eggs)

Атакуемые отрасли

  • Финансовая отрасль

Атакуемые страны

  • Северная Америка
  • Европа
  • Центральная Азия
  • Юго-Восточная Азия

Альтернативные названия группы

  • Cobalt Gang
  • Cobalt Spider

Отчеты Positive Technologies и других исследователей

  • https://www.ptsecurity.com/upload/corporate/ww-en/analytics/Cobalt-Snatch-eng.pdf
  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/cobalt-obnovlenie-tactic-i-instrumentov/
  • /upload/corporate/ww-en/analytics/Cobalt-2017-eng.pdf
  • https://blog.talosintelligence.com/2018/07/multiple-cobalt-personality-disorder.html
  • https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-part-3-cobint
  • https://blog.morphisec.com/cobalt-gang-2.0
  • https://blog.trendmicro.com/trendlabs-security-intelligence/cobalt-spam-runs-use-macros-cve-2017-8759-exploit/
  • https://www.group-ib.ru/resources/threat-research/cobalt.html
  • https://www.group-ib.com/blog/renaissance

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Initial Access
T1566.001 Phishing: Spearphishing Attachment Группа Cobalt рассылает электронные письма с вредоносными вложениями в формате DOC, XLS, RTF, PDF, LNK, CHM или ZIP
T1566.002 Phishing: Spearphishing Link Группа Cobalt рассылает электронные письма с вредоносными ссылками
Execution
T1059.003 Command and Scripting Interpreter: Windows Command Shell Группа Cobalt использует cmd.exe через JavaScript-бэкдор
T1559.002 Inter-Process Communication: Dynamic Data Exchange Группа Cobalt рассылает документы с вредоносными OLE-объектами
T1203 Exploitation for Client Execution Группа Cobalt использовала следующие уязвимости в своих атаках:
  • CVE-2017-0199,
  • CVE-2017-8570,
  • CVE-2017-8759
  • CVE-2017-11882,
  • CVE-2018-0802,
  • CVE-2018-8174
T1059.001 Command and Scripting Interpreter: PowerShell Группа Cobalt использует в атаках Powershell
T1059.003 Command and Scripting Interpreter: Windows Command Shell Группа Cobalt использует в атаках интерфейс командной строки Windows
T1059.005 Command and Scripting Interpreter: Visual Basic Группа Cobalt использует документы с VBA-макросами
T1059.007 Command and Scripting Interpreter: JavaScript/JScript Группа Cobalt использует в атаках JScript
T1204.001 User Execution: Malicious Link Группа Cobalt пытается заставить пользователей перейти по вредоносной ссылке в фишинговом письме для загрузки вредоносного файла
T1204.002 User Execution: Malicious File Группа Cobalt пытается заставить пользователей запустить вредоносный файл из фишингового письма
Persistence
T1037.001 Boot or Logon Initialization Scripts: Logon Script (Windows) Группа Cobalt закрепляется в системе через UserInitMprLogonScript
T1543.003 Create or Modify System Process: Windows Service Группа Cobalt закрепляется в системе через сервисы
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Группа Cobalt может закрепиться в системе через реестр или папку STARTUP
T1053.005 Scheduled Task/Job: Scheduled Task Группа Cobalt может закрепиться в системе через задачи для планировщика
Privilege Escalation
T1068 Exploitation for Privilege Escalation Группа Cobalt использует эксплойты для повышения привилегий в зараженной системе
Defense Evasion
T1548.002 Abuse Elevation Control Mechanism: Bypass User Access Control Группа Cobalt обходит UAC
T1027 Obfuscated Files or Information Группа Cobalt обфусцирует код ВПО
T1055 Process Injection Группа Cobalt встраивает вредоносный код в доверенные процессы системы
T1218.003 Signed Binary Proxy Execution: CMSTP Группа Cobalt использует cmstp.exe для обхода AppLocker
T1070.004 Indicator Removal on Host: File Deletion Группа Cobalt удаляет свои дропперы с зараженных компьютеров для сокрытия следов
T1218.008 Signed Binary Proxy Execution: Odbcconf Группа Cobalt использует подписанную утилиту odbcconf.exe для исполнения вредоносных DLL-файлов
T1218.010 Signed Binary Proxy Execution: Regsvr32 Группа Cobalt использует regsvr32.exe для запуска вредоносных скриптов
T1218.011 Signed Binary Proxy Execution: Rundll32 Группа Cobalt использует rundll32.exe для запуска ВПО
T1220 XSL Script Processing Группа Cobalt использует msxsl.exe для запуска вредоносного JavaScript-кода из XSL-файла
T1112 Modify Registry Группа Cobalt модифицирует значения некоторых ключей реестра
Discovery
T1046 Network Service Scanning Группа Cobalt использует опенсорсные утилиты для разведки в сети
T1518.001 Software Discovery: Security Software Discovery Группа Cobalt с помощью JavaScript-бэкдора собирает информацию об установленных в системе антивирусах
Lateral Movement
T1021.001 Remote Services: Remote Desktop Protocol Группа Cobalt использует RDP для развития атаки внутри сети
Command And Control
T1105 Ingress Tool Transfer Группа Cobalt загружает дополнительные файлы на зараженную машину
T1219 Remote Access Tools Группа Cobalt использует в своих атаках утилиты для удаленного администрирования TeamViewer и Ammyy Admin
T1105 Remote File Copy Группа Cobalt использует публичные сайты как контрольные серверы для загрузки промежуточного ВПО
T1071.001 Application Layer Protocol: Web Protocols Группа Cobalt в своем ВПО использует протоколы HTTP И HTTPS

Группировки, атакующие такие же отрасли:

  • APT31
  • APT32
  • ChamelGang
  • FancyBear
  • Lazarus
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта