Cobalt Renaissance: новые атаки и совместные операции

23 мая, 13:21 (мск) Group-IB зафиксировала новую масштабную кибератаку Cobalt на ведущие банки России и СНГ. Это было похоже на вызов: фишинговая рассылка шла от имени известной антивирусной компании. Сотрудники банков получили «жалобу» на английском языке, что их компьютеры якобы нарушают законодательство. Пользователям предлагали внимательно ознакомиться с поясняющим документом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на web-ресурсы получателя.

Эксперты Group-IB довольно быстро нашли связь рассылки с Cobalt: использовалась их уникальная троянская программа Coblnt, которая стояла на вооружении группы с конца декабря 2017. Почтовая рассылка шла с доменного имени kaspersky-corporate[.]com, который регистрировался тем же лицом, что и доменные имена из прошлых рассылок Cobalt.

Но были и особенности: впервые было использовано название антивирусного вендора и первая волна рассылок содержала пустой эксплоит ThreadKit без полезной нагрузки. Раньше подобных промахов хакеры из Cobalt не допускали. Впрочем, обнаружив ошибку, злоумышленники исправились.

Целями этой кибератаки могли быть не только банки России и СНГ: поскольку письмо было составлено на английском языке, велика вероятность, что оно ушло и в иностранные банки. В списке прежних рассылок Cobalt, с которым удалось ознакомиться специалистам Group-IB, содержались адреса 86 банков, в том числе иностранных - долгое время список адресатов не менялся. Недавно мы регистрировали атаку Cobalt на компании из гостиничной индустрии, что очень нетипично для этой группы.

Учитывая возросшее качество фишинговых писем, а также рассылку текстов на английском языке, стилизованых под «юридическую жалобу», велика вероятность проведения оставшимися на свободе членами группа Cobalt совместной операции с другими преступными группами.

Фишинговая рассылка 23 мая уходила со следующих почтовых ящиков:

• recive@kaspersky-corporate[.]com
• info@kaspersky-corporate[.]com
• r.levis@kaspersky-corporate[.]com

Тема письма: «Technical Support»

Доменное имя kaspersky-corporate[.]com зарегистрировано 2018-05-21, на данный момент резолвится на IP-адрес 172.217.22[.]110, ранее резолвился на 194.58.112[.]174 и 62.76.40[.]207

Адрес почтового сервера, с которого происходила рассылка, mail.kaspersky-corporate.com имеет IP-адрес 62.76.40[.]207.

Внутри письма содержится ссылка на загрузку документа Word – файл Complaint.doc (hxxps://kaspersky-security[.]com/Complaint.doc). При переходе по ссылке вначале пользователь получатель .doc эксплоит, сформированный фреймворком ThreadKit.

Complaint.doc
MD5 fa354151a3fc6d0dce69e8eeaa8cd197
Размер 192706 bytes

Однако злоумышленник допустил ошибку и забыл настроить билдер, вследствие чего эксплоит оказался пустым и ничего не устаналивал в систему. Более того, хакеры не поменяли стандартный decoy документ, установленный автором по умолчанию. При открытия эксплоита пользователям демонстрировалась заглушка.

Впервые хищения через SWIFT группа Cobalt совершила весной 2016 года в банке Гонконга, затем на Украине. Миллионы долларов, похищенные в обоих случаях, требовали не только технологической подготовки, но и серьезных контактов с обнальщиками, которые могли бы пропустить через себя крупные суммы, выведенные через SWIFT. Эти и другие факторы позволяли предположить, что скорее всего они действовали не одни.

После украинского эпизода атаки с использованием системы межбанковских переводов резко прекратились. Cobalt переключились на значительно более простые и безопасные для мулов (лиц, привлекаемых для обналичивания) взломы банков через карточный процессинг и банкоматы. Первым большим самостоятельным успехом Cobalt стал First Bank на Тайване в июле 2016 года. Все происходило как в кино. Люди в масках подходили к банкоматам, звонили по мобильному — банкомат выдавал деньги, преступники складывали их в рюкзаки и убегали. И так опустошили три десятка банкоматов на $2,18 млн. Полиция терялась в догадках: на корпусах банкоматов не было ни следов взлома, ни накладных устройств — скиммеров. Злоумышленники даже не использовали банковские карты. После такого масштабного налета восемь крупнейших банков страны приостановили выдачу наличных в 900 банкоматах

Именно тогда, в 2016 году, мы выпустили отчет о методах работы Cobalt по всему миру. После этого преступники стали действовать осторожнее, переключившись на более безопасные атаки, связанные с карточным процессингом. Параллельно группа начинает дорабатывать свои инструменты, в частности, эксплойты и stager'ы для того, чтобы усложнить их атрибуцию и обнаружение.

В сентябре 2016 они сумели получить доступ в один из банков Казахстана. Процесс подготовки атаки и изучения инфраструктуры банка занял 2 месяца. В ноябре они успешно похитили около 600 тысяч долларов через карточный процессинг, после чего поставили такие атаки на поток. Уже в 2017 году, используя этот метод хищения, хакеры Cobalt установили абсолютный «рекорд» и предприняли попытку похитить 25 млн евро в одном из европейских банков.

Лишь через 1,5 года Cobalt рискнет атаковать SWIFT снова. Именно тогда в декабре 2017-го года произойдет атака через SWIFT в российском банке, ставшая первым подобным прецедентом в истории отечественной банковской индустрии.

Долгое время "секрет успеха" Cobalt состоял в том, что хакеры тестировали новые инструменты и схемы, часто меняли локацию проведения атак и хорошо знали, как работают банки. После заражения компьютеров сотрудников банка группа Cobalt изучала внутреннюю инфраструктуру организации, наблюдала за рабочим процессом и только после этого проводила атаку. В среднем промежуток от проникновения до вывода денег составлял три-четыре недели, средняя сумма хищения — 100 млн руб.

На протяжении всего времени работы Group-IB на международном рынке информационной безопасности мы наблюдаем объединение различных киберкриминальных структур и вербовку отдельных представителей хакерских групп для совершения атак на банки и другие организации. Мы убеждены в том, что эта тенденция в ближайшие годы усилится. В данном отчете мы впервые публично заявляем о совместных операциях группы Cobalt и Anunak (Carbanak), а также приводим ретроспективу наиболее значимых атак с 2016 по 2017 год.

В более раннем исследовании 2016 года мы связали появление Cobalt с прекращением существования другой группы – Buhtrap. Между последней атакой Buhtrap и первой атакой Cobalt в России прошло три месяца. Именно в этот период группа Cobalt подготовила свою инфраструктуру и совершила хищения через SWIFT в банках Гонконга и Украины. О том, что к атакам на SWIFT причастны именно Cobalt, говорит уникальный загрузчик (stager), который использовали только они. Однако для Cobalt образца 2016 года эти атаки были неожиданно сложными технически. Кроме того, сам процесс обналичивания денег, выведенных через SWIFT, всегда являлся нетривиальной задачей. Эти факты указывали на вероятное наличие сообщников. Связь с группой Anunak удалось найти только спустя 1.5 года (в 2017 году), когда в одном из сложных инцидентов в ходе мероприятий по реагированию нами был обнаружен уникальный SSH-бэкдор, который использовался группой Anunak в 2014-м году.

2017-й стал годом технологического прорыва группы. Вероятнее всего, Cobalt нашли команду разработчиков, которые на постоянной основе выполняли их заказы, создавая новые инструменты и дорабатывая эксплойты в целях затруднения обнаружения средствами защиты. Новый ресурс позволил им быть оперативнее: при появлении PoC для 1-day эксплойтов группа Cobalt в течение нескольких часов начинала использовать ее модифицированную версию.

Модернизация технологий и усовершенствование тактики позволили Cobalt еще успешнее атаковать свои цели внутри банков – SWIFT, карточный процессинг, платежные шлюзы. В этом же году Cobalt устанавливает персональный «рекорд», сделав попытку вывести максимальную для них сумму 25 млн. евро из одного европейского банка.

Важным изменением тактики Cobalt стало смещение в сторону непрямых атак. В феврале 2016 года эксперты Group-IB фиксируют успешный взлом системного интегратора, которого Сobalt использует как «посредника» для проведения атак на компании в России, Казахстане, Молдавии, а также их представительства в других странах. В течение последующих 9 месяцев они получат доступ минимум в 4 аналогичных компании: по одной в Украине и США, и двум компаниям в России.

В марте 2017-го они начали готовить атаки на компании, предоставляющие электронные кошельки и терминалы оплаты. Уже в апреле они изучили новую схему и создали уникальную программы для автоматического формирования мошеннических платежей через платежные шлюзы. В сентябре они проводят первую атаку на компанию разработчика электронных кошельков и похищают деньги через платежный шлюз. Именно в этом инциденте впервые обнаружены явные следы группы Anunak.

Позже группа начинает атаковать еще более нетипичные цели – страховые агентства и СМИ. Они захватывают контроль над почтовыми серверами или учетными записями жертв для последующего использования их инфраструктуры в атаках на финансовые организации.

В 2018-й год Cobalt вошла на пике формы – как с точки зрения технологического, так и ресурсного обеспечения. И когда в марте 2018 года в Испании был задержан лидер Cobalt, это не остановило других участников этой группы. Они продолжили атаковать финансовые учреждения, хотя и снизили свою активность в России и СНГ, временно сосредоточившись на других регионах. Примечательно, что зафиксированные в марте фишинговые рассылки всегда приходили от имени американских компаний, например, IBM, Verifon, Spamhaus.

7-10 марта письма рассылались с доменов ibm-cert.com, ibm-warning.com, ibm-notice.com.

15 марта была зафиксирована новая рассылка — в качестве сервера управления использовался домен dns-verifon.com, эксплуатировавший бренд компании VeriFon – крупнейшего вендора POS-терминалов.

26 марта письма рассылали от имени компании Spamhaus, некоммерческой организации, специализирующейся на борьбе со спамом. Для этой рассылки атакующие зарегистрировали очень похожий домен spamhuas.com.

3 апреля были зафиксированы рассылки со скомпрометированного почтового сервера шведской компании.

18 мая осуществлена рассылка от имени SWIFT с использованием уникального JS бэкдора Cobalt, используемая с осени 2017 только в атаках на организации в США и Европе.

23 мая Group-IB обнаружила новую масштабную кибератаку на ведущие банки России и СНГ со стороны преступной группы Cobalt от имени антивирусной компании.

28 мая группа вновь рассылает JS-бэкдор от имени Центрального Европейского Банка.

Учитывая технологическое развитие группы, а также тот факт, что после ареста главаря, на свободе до сих пор остаются другие ее участники и они продолжают атаки, мы не исключаем, что члены Cobalt в ближайшее время вольются в другие группы или будут возрождены в виде условного Cobalt 2.0. В любом случае, их рано списывать со счетов.