Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак.

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    MaxPatrol VM

    Система управления уязвимостями нового поколения

    PT Application Inspector

    Анализатор защищенности приложений

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    XSpider

    Сканер уязвимостей

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    PT Application Firewall

    Защита приложений от веб-атак

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Open Source
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP партнеры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    Клиенты
    Пресс-центр
    Новости
    Инвесторам
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
Меню
  • Главная
  • Исследования
  • Хакерские группировки
  • Cobalt

Cobalt

Альтернативные названия: Cobalt Gang, Cobalt Spider
Атакуемые отрасли:
  • Финансовый сектор

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Кража денежных средств

Общее описание

Киберпреступная группа Cobalt существует с 2016 года и атакует организации кредитно-финансовой сферы c целью кражи денежных средств через взлом банкоматов, карточный процессинг, различные платежные системы (SWIFT, АРМ КБР). Предположительно, некоторые ее участники были членами существовавшей ранее группы Carbanak. По оценкам ФинЦЕРТ, ущерб от атак группы Cobalt в России в 2017 году превысил 1 млрд рублей. После ареста одного из лидеров группы в 2018 году группа продолжила свою активность. Один из громких взломов, к которым была причастна группа, — взлом системы быстрых платежей Unistream.

Инструменты

  • Cobalt Strike
  • CobInt
  • CoolPants
  • ComDll dropper
  • JS-backdoor(more_eggs)

Атакуемые отрасли

  • Финансовая отрасль

Атакуемые страны

  • Северная Америка
  • Европа
  • Центральная Азия
  • Юго-Восточная Азия

Альтернативные названия группы

  • Cobalt Gang
  • Cobalt Spider

Отчеты Positive Technologies и других исследователей

  • https://www.ptsecurity.com/upload/corporate/ww-en/analytics/Cobalt-Snatch-eng.pdf
  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/cobalt-obnovlenie-tactic-i-instrumentov/
  • /upload/corporate/ww-en/analytics/Cobalt-2017-eng.pdf
  • https://blog.talosintelligence.com/2018/07/multiple-cobalt-personality-disorder.html
  • https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-part-3-cobint
  • https://blog.morphisec.com/cobalt-gang-2.0
  • https://blog.trendmicro.com/trendlabs-security-intelligence/cobalt-spam-runs-use-macros-cve-2017-8759-exploit/
  • https://www.group-ib.ru/resources/threat-research/cobalt.html
  • https://www.group-ib.com/blog/renaissance

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Initial Access
T1566.001 Phishing: Spearphishing Attachment Группа Cobalt рассылает электронные письма с вредоносными вложениями в формате DOC, XLS, RTF, PDF, LNK, CHM или ZIP
T1566.002 Phishing: Spearphishing Link Группа Cobalt рассылает электронные письма с вредоносными ссылками
Execution
T1059.003 Command and Scripting Interpreter: Windows Command Shell Группа Cobalt использует cmd.exe через JavaScript-бэкдор
T1559.002 Inter-Process Communication: Dynamic Data Exchange Группа Cobalt рассылает документы с вредоносными OLE-объектами
T1203 Exploitation for Client Execution Группа Cobalt использовала следующие уязвимости в своих атаках:
  • CVE-2017-0199,
  • CVE-2017-8570,
  • CVE-2017-8759
  • CVE-2017-11882,
  • CVE-2018-0802,
  • CVE-2018-8174.
T1059.001 Command and Scripting Interpreter: PowerShell Группа Cobalt использует в атаках Powershell
T1059.003 Command and Scripting Interpreter: Windows Command Shell Группа Cobalt использует в атаках интерфейс командной строки Windows
T1059.005 Command and Scripting Interpreter: Visual Basic Группа Cobalt использует документы с VBA-макросами
T1059.007 Command and Scripting Interpreter: JavaScript/JScript Группа Cobalt использует в атаках JScript
T1204.001 User Execution: Malicious Link Группа Cobalt пытается заставить пользователей по вредоносной ссылке в фишинговом письме для загрузки вредоносного файла
T1204.002 User Execution: Malicious File Группа Cobalt пытается заставить пользователей запустить вредоносный файл из фишингового письма
Persistence
T1037.001 Boot or Logon Initialization Scripts: Logon Script (Windows) Группа Cobalt закрепляется в системе через UserInitMprLogonScript
T1543.003 Create or Modify System Process: Windows Service Группа Cobalt закрепляется в системе через сервисы
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Группа Cobalt может закрепиться в системе через реестр или папку STARTUP
T1053.005 Scheduled Task/Job: Scheduled Task Группа Cobalt может закрепиться в системе через задачи для планировщика
Privilege Escalation
T1068 Exploitation for Privilege Escalation Группа Cobalt использует эксплойты для повышения привилегий в зараженной системе
Defense Evasion
T1548.002 Abuse Elevation Control Mechanism: Bypass User Access Control Группа Cobalt обходит UAC
T1027 Obfuscated Files or Information Группа Cobalt обфусцирует код ВПО
T1055 Process Injection Группа Cobalt встраивает вредоносный код в доверенные процессы системы
T1218.003 Signed Binary Proxy Execution: CMSTP Группа Cobalt использует cmstp.exe для обхода AppLocker
T1070.004 Indicator Removal on Host: File Deletion Группа Cobalt удаляет свои дропперы с зараженных компьютеров для сокрытия следов
T1218.008 Signed Binary Proxy Execution: Odbcconf Группа Cobalt использует подписанную утилиту odbcconf.exe для исполнения вредоносных DLL-файлов
T1218.010 Signed Binary Proxy Execution: Regsvr32 Группа Cobalt использует regsvr32.exe для запуска вредоносных скриптов
T1218.011 Signed Binary Proxy Execution: Rundll32 Группа Cobalt использует rundll32.exe для запуска ВПО
T1220 XSL Script Processing Группа Cobalt использует msxsl.exe для запуска вредоносного JavaScript-кода из XSL-файла
T1112 Modify Registry Группа Cobalt модифицирует значения некоторых ключей реестра
Discovery
T1046 Network Service Scanning Группа Cobalt использует опенсорсные утилиты для разведки в сети
T1518.001 Software Discovery: Security Software Discovery Группа Cobalt с помощью JavaScript-бэкдора собирает информацию об установленных в системе антивирусах
Lateral Movement
T1021.001 Remote Services: Remote Desktop Protocol Группа Cobalt использует RDP для развития атаки внутри сети
Command And Control
T1105 Ingress Tool Transfer Группа Cobalt загружает дополнительные файлы на зараженную машину
T1219 Remote Access Tools Группа Cobalt использует в своих атаках утилиты для удаленного администрирования TeamViewer и Ammyy Admin
T1105 Remote File Copy Группа Cobalt использует публичные сайты как контрольные серверы для загрузки промежуточного ВПО
T1071.001 Application Layer Protocol: Web Protocols Группа Cobalt в своем ВПО использует протоколы HTTP И HTTPS

Группировки, атакующие такие же отрасли:

  • RTM (Read The Manual)
  • Silence
  • Winnti
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • PT Sandbox
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • XSpider
  • PT Application Firewall
  • PT Application Inspector
  • PT Platform 187
  • ПТ Ведомственный центр
  • PT Network Attack Discovery
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
  • Open Source
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP партнеры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • Клиенты
  • Пресс-центр
  • Новости
  • Инвесторам
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Positive Technologies
Copyright © 2002-2021 Positive Technologies
Мы в социальных сетях:
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта
Copyright © 2002-2021 Positive Technologies
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта