По данным правоохранительных органов и ИБ-экспертов, группа Cobalt активна как минимум с 2013 года. За это время группировка похитила более миллиарда евро у 100 финансовых учреждений из 40 стран мира.
Все эти годы хакеры атаковали банкоматы и финансовые учреждения в разных странах мира. Все атаки имели схожий «почерк». Чаще всего злоумышленники рассылали сотрудникам банков таргетированные фишинговые письма с вредоносными вложениями. В таких посланиях хакеры выдавали себя за представителей реально существующих компаний. Как только жертва запускала малварь, преступники получали доступ к зараженной машине, а через нее проникали во внутреннюю сеть банка. Таким образом группировка добиралась, например, до серверов, работающих с банкоматами (также хакеры каждый раз старались получить доступ к платежным шлюзам и карточному процессингу), после чего взломщики могли начинать обналичивать деньги.
В конце 2017 года в России впервые была осуществлена успешная атака на банк с выводом денег за рубеж через международную систему передачи финансовой информации SWIFT. Тогда специалисты Group-IB сообщили, что за атакой стояла именно группировка Cobalt. Позже стало известно, что жертвой злоумышленников стал банк «Глобэкс», принадлежащий Внешэкономбанку, и преступники похитили около миллиона долларов.
Даже несмотря на арест лидера группы в Испании, о котором стало известно в марте текущего года, оставшиеся члены группы продолжают проверять на прочность защиту финансовых учреждений.
Новую фишинговую кампанию, связанную с группировкой Cobalt, обнаружили исследователи NetScout Systems (ранее Arbor Networks). На этот раз таргетированные атаки группы начались в августе 2018 года и были направлены на банки в Восточной Европе (румынские Carpatica Commercial Bank и Patria Bank) и России («НС банк»).
Фишинговые письма группировки замаскированы под послания от различных структур финансовой индустрии. Аналитикам удалось обнаружить управляющий сервер группы (rietumu[.]me), на котором был найден email-адрес, приведший специалистов к нескольким другим доменам, созданным в начале августа. Например, inter-kassa[.]com, compass[.]plus, eucentalbank[.]com, europecentalbank[.]com и unibank[.]credit. Как не трудно заметить, все они призваны имитировать различные финансовые организации и сервисы.
Фишинговые послания группировки содержали сразу два типа URL: одни ссылки вели к загрузке вредоносного файла Word, содержащего обфусцированные скрипты VBA, другие приводили к загрузке бинарника, замаскированного под файл JPG. Оба вектора атак использовались для заражения целевых систем бэкдорами.
Так, аналитики NetScout Systems обнаружили вариацию малвари CobInt/COOLPANTS, которую уже давно связывают с группой Cobalt. К тому же малварь держала связь с hxxps://apstore[.]info — доменом, который ассоциировали с активностью Cobalt эксперты компании Proofpoint.
Исследователи отмечают, что использование сразу двух векторов атак – это достаточно необычное явление. Также сообщается, что раз Cobalt не остановил даже арест лидера группы, атаки явно будут продолжаться и далее. Аналитики прогнозируют, что целями хакеров могут стать и другие восточноевропейские банки.