西門子系統集商-上海煥拓自動控制有限公司

深爱激情网內容

當前位置:西門子PLC > 深爱激情网內容 > 攻擊金融深爱激情网的Cobalt組織活動分析 > 正文

攻擊金融深爱激情网的Cobalt組織活動分析

西门子深爱激情网內容   查阅次数:2612   更新时间: 2019-07-11 17:26

近期,安恒猎影威胁分析团队监测发现有多个可疑文档通过钓鱼邮件的方式向国内金融深爱激情网单位的人员发起攻击,经分析该活动与Cobalt 组织有关。

Cobalt Group是一个具有高技术水准的威胁组织,由于其使用基于Cobalt Strike渗透测试套件的定制恶意软件而命名,主要针对金融深爱激情网。其活动目标区域覆盖东欧、中亚和东南亚等地区,自2017年后该组织的攻擊目標扩大到了北美、西欧和南美的一些国家。从此次真实攻击被发现,说明我国也属于其攻擊目標范围区域内,主要攻击对象锁定为金融机构,不排除包含其他机构。自2016年被国外安全厂商披露以来,该组织仍在持续进行攻击、技术更新。Cobalt Group善于使用鱼叉式网络钓鱼攻击,并始终利用技术先进的武器库。也有报告显示该组织和Carbanak组织有所关联,因其攻击手法和流程并未发生太多变化,只有武器库发生变化,也可能由于其历史时期攻擊目標及规模的转变,必须通过特定手法和更高级的技术手段在网络空间中隐藏自身。另外,可以比较肯定的是该组织由多人组成,其中一名领导人于2018年初在西班牙被捕,但攻击依然活跃。

梳理回顧

Cobalt Group于2016年11月由group-ib率先披露并命名,并可以关联到Carbanak组织,该组织的攻击行动最早可追溯到2013年。所以基于命名可以将该组织区分为两个时期。

2013--2016 Carbanak时期:

使用Anunak、Carbanak惡意軟件攻擊金融機構,2015年到2016年間發起“Buhtrap行動”。

2016--至今CobaltGroup時期:

使用基于Cobalt Strike渗透测试套件的定制恶意软件,漏洞利用工具套件,租用MaaS等对俄罗斯、独联体、欧洲、亚洲、美洲等地区的金融机构或其他机构发起攻击。

攻擊區域

Cobalt Group的攻擊區域主要包括东欧、中亚和东南亚,2017年后还延伸到了包括北美、西欧甚至南美等地区。

攻擊目標

Cobalt Group的核心攻擊目標为金融深爱激情网,在金融深爱激情网中大多数为银行,其他机构包括金融交易所、投资基金、保险公司和借贷机构等。其他攻擊目標包括政府、电信、互联网、服务供应商、制造业、娱乐、卫生保健等。

獲利手法

1、該組織通過攻擊銀行,滲透到銀行內部,得到ATM系統的控制權限,在預定時間預定深爱激情网的ATM機處,等候ATM機自動吐出現金。攻擊支付系統、SWIFT服務及線上交易系統通過匿名轉賬等方式進行獲利。

2、通過攻擊金融交易所,通過哄擡股價、高位賣出的操作手段,以一種導致股價快速波動的方式激勵某些公司的股票購買或出售,該組織從中套利。

3、通過攻擊政府組織和部委,以便作爲攻擊其他目標的基石。

4、其他攻擊目標获利方式未明,仍然存在其他未探知的活力手法。

運作方法

在Cobalt Group发起的攻击中绝大多数情况是通过社会工程学和鱼叉式网络钓鱼方式进行的。

准備階段

該組織會購買或自制武器形成武器庫,尋找互聯網上存在漏洞的網站或購買主機作爲挂馬深爱激情网存放後門程序,注冊Email深爱激情网,注冊釣魚域名,配置SpF防止深爱激情网拒絕釣魚郵件接收或當作垃圾郵件,配置後門程序和網絡回連。

投遞階段

這些投遞的郵件經常被僞裝爲合法公司或者監管機構。該組織會預先注冊和合法公司或機構非常相似的域名,或有時也會滲透入一些合法公司和機構拿到員工深爱激情网,通過這些域名深爱激情网投遞給目標以降低目標警惕性。

郵件內容往往經過精心描述,帶有極強的欺騙性。

投递的邮件中带有附件,投递附件的类型包括Backdoor Dropper程序、LNK文件、带有漏洞利用的Office文档、带有恶意VBA宏的Office文档、带有恶意URL链接的pDF文档、加密的ZIp压缩文件。

有些時候也會直接將釣魚URL深爱激情网直接寫在僞裝的郵件內容中,點擊並進行後續操作,則會感染惡意軟件。

利用階段

目標人員查看郵件並運行郵件附件或鏈接,目標設備被植入後門。

收割階段

根據已有突破點進行縱橫向滲透繼續擴大成果。如針對銀行目標,該組織會攻入ATM控制系統、支付系統、線上交易系統、SWIFT等重要模塊,通過ATM現金提取、線上匿名轉賬等方式獲利。

技術演變

追溯到Carbanak組織時期,Carbanak組織使用自研的Anunak及Carbanak作爲主要木馬後門工具。

到了Cobalt Group时期,为了提高隐蔽性,该组织开始弃用自研工具,转向购买利用工具包,使用Cobalt Strike等更通用的装备,提高在工具使用上的隐蔽性,当然在一些场景下也会使用某些自研的特殊工具。再后期该组织开始租用MaaS解决方案,将更多部分的攻击链外包给第三方,如使用与其他电子犯罪集团相同的网络基础设施,导致C2服务器重叠等,更加具有混淆性和迷惑性。

感染鏈

該組織在投遞利用過程包含多個組成部分。

投遞載荷部分

包括Backdoor Dropper程序、LNK文件、带有漏洞利用的Office文档、带有恶意VBA宏的Office文档、带有恶意URL链接的pDF文档、加密的ZIp压缩文件。

漏洞及利用部分

投遞的惡意文檔或惡意軟件是通過漏洞利用工具包或其他工具生成的,使用到的漏洞包括CVE-2012-0158、CVE-2015-1641、CVE-2017-0199、CVE-2017-8570、CVE-2017-8759、CVE-2017-11882、CVE-2018-0802、CVE-2018-4878、CVE-2018-8174等。

中間程序部分

這一部分使用了CMSTp、MSXSL、REGSVR、ODBCCONF等程序,目的是爲了繞過AppLocker等系統策略。

下載者部分

這部分包括powershell下載者和JScript下載者。

powershell下載者分爲多個階段,先會從C2下載回下一階段的powershell腳本程序並執行,然後該階段會解密出shellcode並加載到內存中執行。

JScript下載者會從C2下載回一個JScript後門程序,可以用來下載最終的有效負載。

最終負載部分

目前为止发现的该组织使用的最终有效负载主要有3个,Cobalt Strike Beacon、More_eggs以及CobInt。

Cobalt Strike Beacon为Cobalt Strike的利用模块,可以让攻击者对主机有完全控制,并可以延伸到其他系统。

More_eggs是JS寫的後門程序,存在多個曆史版本,但功能大致相同。More_eggs的命令大致如下:

d&exec下載和執行pE文件

more_eggs下載更新文件並更新

gtfo刪除自己和相關的注冊表記錄

more_onion執行新副本

vai_x通過cmd執行命令

CobInt是C語言寫的後門程序,命名基于Cobalt組織使用的內部DLL文件“int.dll”,它會通過C2下載主組件,主組件會從C2下載並執行其余各個利用模塊,CobInt的目的從現有程序來看似乎只是作爲偵查目的。

最新演變狀況

最新发现的攻击样本使用了如下的感染鏈:

打開樣本的內容爲:

这类样本是由VenomKit漏洞利用工具套件生成的。生成的一个样本中就包含CVE-2017-11882、CVE-2017-8570、CVE-2017-0199这几个漏洞,其中CVE-2017-0199会访问带CVE-2018-8174 IE浏览器漏洞利用的页面,

另外两个会使用cmstp加载执行inf远程深爱激情网的JS scriptlet,scriptlet包含JScript Dropper,该JScript Dropper释放了一个pE后门程序和一个具有欺骗性文档。

释放的pE后门程序为一个后门下载器,这个样本会结合使用开源的小软件程序,使得看似是个正常的小软件,内部加入了恶意代码,这和Cobalt组织之前被披露的DLL dropper使用合法的dll源码包含恶意的dropper代码是相似的。

總結建議

網絡空間安全對抗成本逐漸提高,黑客組織、黑産組織等會不斷更新新的武器裝備,無論從工具層面還是戰術層面都在與時俱進,甚至可以達到保持領先的水准。Cobalt組織慣于使用售賣的漏洞利用套件、滲透套件和MaaS服務,其技術水准相對較高,並且仍在持續更新新的技術及手法。

企業應當注重培養人員安全意識,人員的安全意識極爲重要。不輕易打開未知來源的郵件及附件,不隨意點擊未知鏈接,不隨意打開未驗證可靠來源的文檔。

做好風控管理,安全運維建設,核查企業內信息資産,定期對信息資産做更新維護,不輕易放過任何信息系統,防止從點上被突破。

建立和鞏固安全防禦體系,加大防禦的廣度和深度,實現從點到面的布局。

安恒ApT預警平台能夠發現已知和未知的威脅,ApT預警平台的實時監控能力能夠捕獲並分析郵件附件投遞文檔或程序的威脅性,並能夠對郵件投遞、漏洞利用、安裝植入、回連控制等各個階段做強有力的監測。結合安恒威脅情報系統,可將國內外的威脅數據進行彙總,並分析整個攻擊演進和聯合預警。

原文标题:攻擊金融深爱激情网的Cobalt組織活動分析

文章出處:歡迎添加關注!文章轉載請注明出處。

五株科技进军A股IPO 已完成上市辅导

近日,深圳市五株科技股份有限公司發布了首次公開發行股票並上市輔導工作總結報告的公告。

公告顯示,中信建投證券股份有限公司與深圳市五株科技股份有限公司于2018年12月24日簽署輔導協議,並向中國證監會深圳監管局遞交了輔導備案登記材料。現已完成了上市輔導,取得了預期的輔導效果。

五株科技股份是五洲電路集團公司通過股改擬上市公司,現擁有東莞、梅州、江西三大生産基地,六大pCB事業群及深圳營銷系統,員工多達六千人,主要生産高多層、HDI、FpC電路板,深爱激情网廣泛應用于通信設備、智能深爱激情网、電腦、醫療機械、汽車電子、航空及軍事設備等領域。五株科技股份先後被評爲國家級“高新技術企業”“優秀民族品牌企業”等。

原文标题:五株科技进军A股IpO 已完成上市辅导

文章出處:歡迎添加關注!文章轉載請注明出處。