В Group-IB сообщили, что зафиксировали две волны фишинговых рассылок, организованных хакерами. Первая из них произошла днем 23 мая, через пять месяцев после декабрьской атаки Cobalt на российские организации. При этом хакеры впервые рассылали письма от имени крупного антивирусного вендора - рассылка осуществлялась с домена kaspersky-corporate.com, который не принадлежит "Лаборатории Касперского". В ходе работы специалисты Group-IB установили связь этого домена с лицом, на которое были ранее зарегистрированы домены для атак Cobalt.
Во время этой атаки хакеры рассылали пользователям "жалобы" на английском языке якобы об обнаружении активности, нарушающей существующее законодательство. Получателю предлагалось ознакомиться с вложенным письмом (это привело бы к заражению компьютера) и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, "антивирусная компания" угрожала наложить санкции на web-ресурсы получателя.
Представители "Лаборатории Касперского" подтвердили факт рассылки, а также сообщили, что домены, которые использовали хакеры, были заблокированы. В компании также подчеркнули, что вредоносное программное обеспечение Cobalt изначально детектировалось и блокировалось защитными решениями "Лаборатории Касперского".
Вторая волна фишинговой рассылки произошла 28 мая. В этот раз злоумышленники маскировались под Центральный европейский банк - в письме находилась ссылка на документ с разрешением .doc, в котором якобы содержалось описание финансовых рисков. На самом деле этот документ Word эксплуатировал уязвимость CVE-2017-11882.
"В результате открытия эксплойта и успешной эксплуатации уязвимости произойдет заражение и первичное "закрепление" вредоносной программы в системе банка с помощью уникального загрузчика JS-backdoor, уникальной разработки Cobalt", - сообщили в Group-IB.
Как полагают в компании, жертвами новых атак Cobalt могли стать не только банки России и СНГ, поскольку оба письма были составлены на английском языке и отличались высоким качеством, что нехарактерно для Cobalt. Эта деталь, как и ряд других признаков, указывает на возможное сотрудничество членов Cobalt с другими группами, в частности Anunak.
Напомним, группировка Cobalt считается одной из самых агрессивных русскоговорящих хакерских групп в мире. Она действует с 2013 года и, согласно данным Европола, за все время работы этой группировке удалось похитить свыше 1 млрд евро. Жертвами группировки Cobalt стали финансовые структуры более чем в 40 странах, включая Россию, Великобританию, Нидерланды, Испанию и другие страны. В марте этого года в Испании был арестован лидер Cobalt, однако группа сохранила свою активность.