Cobalt zielt wieder auf Banken

Originalbeitrag von Ronnie Giagone, Lenart Bermejo und Fyodor Yarochkin

Die Wellen mit Backdoors versehener Spam-Mails, die im Sommer russisch sprechende Unternehmen trafen, waren Teil einer größeren Kampagne. Den verwendeten Techniken nach zu urteilen, steckt die Cobalt Hackergruppe dahinter. In ihren neuesten Kampagnen nutzen die Hacker zwei unterschiedliche Infektionsketten, mit Social Engineering-Taktiken, die den potenziellen Opfern, nämlich Bankangestellten, Dringlichkeit suggerieren sollen.

Der Name der Gruppe kommt von Cobalt Strike, einem multifunktionalen Penetrationstesting-Werkzeug. Dieses wurde von der Gruppe beispielsweise für Geldautomaten-Cyberangriffe und solche auf Finanzinstitute in Europa eingesetzt, interessanterweise in Russland. Anders als andere Gruppen, die russisch sprechende Länder meiden, lassen die Angriffsmuster von Cobalt darauf schließen, dass Russland als Testgelände genutzt wird, um die neueste Malware und Techniken auszuprobieren. Bei Erfolg werden andere Länder gewählt. Der erste Spam-Durchgang zielte auch auf eine slowenische Bank und der zweite auf Finanzunternehmen in Aserbaidschan, Weißrussland und Spanien.

Die Gruppe nutzt nicht nur eine andere Sicherheitslücke (CVE-2017-8759), sondern hat auch die Zielgruppe ihrer Spear Phishing-Kampagnen geändert. Üblicherweise sind es Bankkunden, die ins Visier genommen werden, nun aber wendet sich der Angriff gegen die Bank selbst, und die Cyberkriminellen tarnen sich als Kunden. Weitere technische Details liefert der Originalbeitrag.

Trend Micro-Lösungen

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination von Verteidigungstechniken gegen eine Vielfalt von Bedrohungen im Datacenter, in Cloud-Umgebungen, Netzwerken und Endpunkten. Mithilfe von High-Fidelity Machine Learning bietet die Lösung Schutz für Gateways und Daten sowie Anwendungen auf dem Endpunkt. Über Fähigkeiten wie Web/URL-Filtering, Verhaltensanalyse und Sandboxing sollen gezielte Bedrohungen, die traditionelle Schutzmechanismen umgehen, sowie bekannte und unbekannte Schwachstellen ausnutzen, abwehren.

Indicators of Compromise liefert ebenfalls der Originalbeitrag.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*