Xakep #305. Многошаговые SQL-инъекции
Специалисты Group-IB подготовили новый отчет о деятельности хакерской группы Cobalt и сообщили, что последние атаки группы были проведены 23 и 28 мая 2018 года. Целями хакеров стали банки в России, странах СНГ и предположительно зарубежные финансовые организации. Напомню, что суммарно эта группировка похитила более миллиарда евро у 100 финансовых учреждений из 40 стран мира.
Немного истории
По данным правоохранительных органов и ИБ-экспертов, Cobalt активна как минимум с 2013 года. Все это время хакеры атаковали банкоматы и финансовые учреждения в разных странах мира. Все атаки группы имели схожий «почерк». Злоумышленники рассылали сотрудникам банков таргетированные фишинговые письма с вредоносными вложениями. В таких посланиях хакеры выдавали себя за представителей реально существующих компаний. Как только жертва запускала малварь, преступники получали доступ к зараженной машине, а через нее проникали во внутреннюю сеть банка. Таким образом группировка добиралась, например, до серверов, работающих с банкоматами (также хакеры каждый раз старались получить доступ к платежным шлюзам и карточному процессингу), после чего взломщики могли начинать обналичивать деньги.
Зачастую банкоматам удаленно, в определенное время отдавали команду на выдачу наличных, а возле банкомата уже поджидал специальный человек, «мул», принимавший купюры. Также порой злоумышленники переводили средства с легитимных аккаунтов на счета своих подельников, которые обналичивали их в банкоматах или покупали дорогие товары, которые затем можно было легко сбыть. Кроме того, иногда преступникам, глубоко проникшим в сеть финансового учреждения, удавалось искусственно «нарисовать» на счетах своих мулов крупные суммы, не переводя средства с других аккаунтов. Эти деньги тоже обналичивали как можно быстрее.
Напомню, что в конце 2017 года в России впервые была осуществлена успешная атака на банк с выводом денег за рубеж через международную систему передачи финансовой информации SWIFT. Тогда специалисты Group-IB сообщили, что за атакой стояла именно группировка Cobalt. Позже стало известно, что жертвой злоумышленников стал банк «Глобэкс», принадлежащий Внешэкономбанку, и преступники похитили около миллиона долларов.
23 мая 2018 года эксперты Group-IB зафиксировали новую масштабную атаку Cobalt, направленную на ведущие банки России и СНГ. Несмотря на арест лидера группы в Испании, о котором стало известно в марте текущего года, оставшиеся члены группы вновь проверили на прочность защиту финансовых учреждений. Примечательно, что последние атаки в России были зафиксированы 5 месяцев назад, в декабре 2017 года.
Первая волна фишинговой рассылки была обнаружена 23 мая в 13:21 по московскому времени. Впервые в практике Cobalt фишинговые письма были отправлены от имени крупного антивирусного вендора. Пользователь получил «жалобу» на английском языке о том, что с его компьютера якобы зафиксирована активность, нарушающая существующее законодательство. Ему предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на веб-ресурсы получателя. Чтобы скачать письмо, необходимо было перейти по ссылке, что привело бы к заражению компьютера сотрудника банка.
Специалисты Group-IB пишут, что провести атрибуцию и подтвердить, что рассылка — дело рук Cobalt не составило труда. Так, злоумышленники задействовали уникальную троянскую программа Coblnt, использовавшуюся группой с декабря 2017. Почтовая рассылка шла с домена kaspersky-corporate.com, который оказался прямо связан с лицом, на которое ранее были зарегистрированы домены для атак Cobalt.
Были у первой волны атаки и свои особенности. Помимо того, что хакеры впервые использовали название антивирусного вендора, первая волна рассылки содержала пустой эксплоит ThreadKit без полезной нагрузки. Раньше подобных промахов Cobalt не допускала. Впрочем, обнаружив ошибку, злоумышленники быстро исправились.
28 мая около 13:00 по московскому времени была зафиксирована свежая вредоносная рассылка Cobalt. Письмо, написанное от имени Центрального Европейского банка, с ящика v.constancio@ecb-europa[.]info было разослано по банкам. В послании содержится ссылка на документ 67972318.doc, якобы описывающий финансовые риски.
Файл 67972318.doc — документ Word, эксплуатирующий уязвимость CVE-2017-11882. В результате его открытия и успешной эксплуатации уязвимости, произойдет заражение и первичное «закрепление» вредоносной программы в системе банка с помощью уникального загрузчика JS-backdoor, разработанного группой Cobalt.
В Group-IB не исключают, что жертвами этих кибератак могли быть не только банки России и СНГ: оба письма составлены на английском языке, что говорит о возможных целях в иностранных банках. Качество фишинговых писем было оценено экспертами компании как высокое. Например, в атаке 23 мая текст на английском языке стилизован под «юридическую жалобу», а поддельный сайт kaspersky-corporate.com также отличался более высоким уровнем качества, что не характерно для Cobalt.
Эти и другие признаки вновь указывали на вероятность проведения оставшимися на свободе членами группа Cobalt совместной операции с другими преступными группами, в частности, Anunak. Детальная информация с техническими индикаторами «работы» групп приводится в отчете «Cobalt: эволюция и совместные операции».
Учитывая технологическое развитие группы, а также тот факт, что после ареста главаря, на свободе до сих пор остаются другие ее участники, эксперты Group-IB не исключают, что члены Cobalt в ближайшее время вольются в другие группы или будут возрождены в виде условного Cobalt 2.0. В любом случае, их рано списывать со счетов.
«Cobalt по-прежнему активен: участники группы не прекращают атаковать финансовые и другие организации во всем мире. Мы убеждены в том, что коллаборация Cobalt и Anunak, позволившая установить своего рода антирекорды этим группам в части реализации наиболее сложных атак, завершившихся выводом сотен миллионов долларов, еще не исчерпала себя», — говорит CTO Group-IB Дмитрий Волков.
Напомню, что некоторые эксперты и правоохранители давно усматривали параллели между Cobalt и Carbanak/Anunak. К примеру, в марте 2018 года, после задержания лидера группы, представители Европола и вовсе писали о хакерах, как о единой группировке.