專門銷售網絡安全暨網絡監控軟件的Arbor Networks週四(8/30)指出,惡名昭彰的金融黑客集團Cobalt在本月中旬展開新一波的攻擊行動,初期鎖定的對象為俄羅斯與羅馬尼亞的銀行。
至少從2016年底就展開攻擊的Cobalt又被稱為Carbanak或FIN7集團,該集團主要鎖定全球的金融組織,經常使用ATM惡意程式發動攻擊,研究人員也相信Cobalt亦是針對SWIFT銀行系統進行一連串攻擊的主謀,受害的金融組織估計已超過100家。
Cobalt集團不僅攻擊目標遍及全球,成員也散佈在全球各地,歐洲刑警組織(Europol)在今年3月宣佈已逮捕Cobalt的首領,美國司法部亦於今年8月表示已逮捕隸屬於該集團的烏克蘭黑客,然而,Arbor Networks的研究顯示此一黑客集團並未因此而收手。
Arbor Networks是在今年8月中旬發現Cobalt集團再度發動攻勢,針對俄羅斯的NS Bank與烏克蘭Patria Bank兩家銀行寄出釣魚郵件,在寄件人部份偽裝成這兩家銀行的合作伙伴或供應商,這些郵件內容看起來是良性的,卻在郵件中夾雜著兩個惡意連結。
其中一個連結指向一個含有惡意程式的Word檔案,另一個則是指向假冒為JPG檔的惡意程式,這兩個檔案所執行的惡意程式連結兩個不同、但都由Cobalt掌控的C&C服務器,它們都是後門程序,目的是建立一個入口,以供未來載入其它惡意程式所用。
研究人員表示,他們並不確定黑客為何要在同一封郵件中使用兩個不同的感染途徑,也許只是為了增加感染概率。
這並非是Cobalt集團慣常使用的攻擊手法,研究人員向Threatpost透露,鎖定ATM的攻擊不但曠日廢時,還得協調取錢任務,針對SWIFT系統的攻擊速度較快,且每次攻擊平均可帶來超過150萬美元的收入,在新一波的釣魚攻擊中,尚無法確定黑客下一步的作法,也有可能連黑客自己都不知道,只是先行建立入口。
閱讀更多 IT情報局菊長 的文章
