Исследователи безопасности из компании Group-IB зафиксировали новую кибератаку хакерской группировки Cobalt, также известной как Carbanak и Anunak. Хакеры продолжают проявлять активность даже после ареста человека, предположительно являющегося лидером группировки.
По словам экспертов, злоумышленники осуществили очередную фишинговую рассылку, на этот раз от имени компании SpamHaus, специализирующейся на защите от спама и фишинга. В отправленных с поддельного адреса j.stivens@spamhuas[.]com письмах утверждалось, что IP-адреса жертв были заблокированы из-за подозрений в рассылке спама. Далее получателям предлагалось перейти по ссылке, ведущей на страницу загрузки документа Microsoft Office, содержащего вредоносное вложение.
Изучив структуру атаки, специалисты отдела анализа вредоносного кода подтвердили, что за рассылкой стоит именно Cobalt.
"Мы не исключаем, что оставшиеся на свободе члены Cobalt некоторое время будут продолжать атаки, в том числе, чтобы показать, что их задержанные подельники не причастны к этой группе. Однако, учитывая арест лидера группы, такие атаки вскоре сойдут на нет. Вероятнее всего члены Cobalt примкнут к действующим группам или, в результате, очередного „передела" появится новая киберкриминальная структура, атакующая банки в разных странах. В любом случае, не стоит списывать со счетов наследие Cobalt — и с точки зрения ресурсов, и с точки зрения инструментария", - заявил руководитель департамента Threat Intelligence и CTO Group-IB Дмитрий Волков.
Хакерская группировка Carbanak активна как минимум с 2013 года. С помощью вредоносного ПО Anunak киберпреступники атаковали электронные платежные системы и банки в 40 странах по всему миру. В 2016 году киберпреступники переключились с Anunak на более сложное ПО Carbanak, использовавшееся до 2016 года, а затем вооружились еще более усовершенствованным инструментом, созданным на основе программы для проведения тестов на проникновение Cobalt Strike. С помощью вредоносного ПО злоумышленники заставляли банкоматы выдавать наличные.