一种新式进犯办法：供应链进犯

发布时间 :2023-03-17 09:58:00

　　Positive Technologies 提醒：本年早些时分将举动扩张至美国后，金钱驱动的“Cobalt”网络犯罪团伙改变了战术，现在选用

　　Positive Technologies 提醒：本年早些时分将举动扩张至美国后，金钱驱动的“Cobalt”网络犯罪团伙改变了战术，现在选用供应链进犯对公司企业的协作伙伴下手。

　　Cobalt在2016年被发现，现在全球规模内活泼，可快速应对银行的保护措施，其对公司员工基础设施和账户的歹意运用便是明证。研究人员称，为拐骗接受者翻开来自不合法域名的网络垂钓邮件，该团伙还会运用安全监管安排的名号。

　　进犯者将网络垂钓音讯伪装成来自金融监管者的邮件，并运用多种格局的歹意附件拐骗方针受骗，包括歹意文档或打包进可履行文件/快捷方式文件的ZIP紧缩包。

　　这伙黑客是最早运用微软 Word Intruder 8 缝隙使用生成器最新版别的一群人，本年4月才被修正的 CVE-2017-0199 缝隙也在他们的使用列表中。该团伙还乱用防护不良的揭露网站投送歹意文件到受害者电脑，向公司企业和方针雇员的个人邮件地址投递网络垂钓邮件。

　　上一年，该安排针对东欧、中亚和东南亚的金融安排下手，但本年，方针列表扩张到了北美、西欧乃至南美（阿根廷）。

　　75%的方针公司身处金融职业，其间90%是银行。但该团伙相同瞄上了金融交易所、出资基金、借款安排，且研究人员称，这表明很快将有一波进犯针对资金活动量大的各类公司。

　　除了金融安排，这伙黑客还针对政府、电信/互联网、服务供给商、制造业、文娱职业和医疗保健公司。

　　研究人员称，Cobalt进犯的技能方面仅仅少量几个人担任。这一技能团队好像还承当了注册歹意域名和发送网络垂钓邮件的职责。

　　歹意邮件一般包括一份歹意附件，要么从长途服务器上获取歹意程序开释器，要么附件自身便是含有开释器的密码保护紧缩文档。开释器落地后会履行Beacon木马（与FIN7/Carbanak黑客安排有关）。

　　经过假造发家信息，该团伙向与银行有协作的特定公司投递网络垂钓邮件，霸占协作公司后，便开端使用实在雇员的被黑账户和邮件服务器，从这些协作公司的基础设施发送网络垂钓音讯。因而，终究的接受者有很大或许性信赖发家，也就增加了感染的成功率。

　　进犯者当心挑选会被细心检查的主题栏、收件人地址和附件称号，让接受者翻开那些包藏了垂钓信息的附件。

　　Cobalt网络垂钓邮件中，60%都与银行及其协作伙伴间的协作及服务条款有关。安全焦虑也是该安排会选用的一种进犯办法，他们会注册不合法域名，假充VISA、MasterCard、俄罗斯央行的FinCERT部分，还有哈萨克斯坦的国家银行等安排发送音讯。

　　该安排用来向万千接受者发送邮件的自动化东西是 alexusMailer v2.0，一款免费PHP脚本，具有匿名性，供给多线程发送支撑。

　　该安排惯于在一周开端的时分注册域名，然后预备黑客东西，再在周末专心使用被黑公司的基础设施宣布邮件展开进犯。从域名被注册，到正式应用在进犯举动的均匀时刻是4天。

　　由于网络垂钓邮件是在作业时段发送的，域名就往往是在下午6点到午夜12点之间，这也契合欧洲国家作业日的习气。

　　研究人员还抢在进犯开端前，就发现并封闭了新注册的Cobalt网络垂钓域名，并与俄罗斯和其他国家的职业监管安排协作，阻断了一切.ru域名及与该安排相关的其他顶层域名的署理。

　　Cobalt安排在2017年形成的丢失没有有切当数字报出。或许来自银行监管安排的正告抵销了部分该安排的垂钓作用。从Cobalt广泛全球的举动规模判别，银行丢失数百万美元是极有或许的。假如对金融交易所的进犯成功履行，那就不仅仅是各公司的直接丢失，还要加上对国际货币市场的汇率震动所形成的丢失了。