رفتن به محتوای اصلی
چهارشنبه ۲۸ آذر ۱۳۹۷
.

دسته بندی اخبار

دسته بندی عمومی

حملات گروه Cobalt به موسسات مالی

حملات گروه Cobalt به موسسات مالی

گروهی از هکرها در حال هدف قرار دادن موسسه‌های مالی هستند و با قرار دادن فایل‌های PDF در ایمیل‌ها از شناسایی توسط سیستم‌های امنیتی جلوگیری می‌کنند. در حملات، کارمندان بانک‌ها مورد هدف قرار گرفته‌اند تا روی لینک‌های مخرب کلیک کنند.

به گفته پژوهشگران Palo Alto، این هکرها بخشی از گروه Cobalt هستند که فایل‌های PDF را برای کارمندان ارسال می‌کنند. این فایل‌ها حاوی اکسپلویت نیستند، اما در آنها لینک‌هایی قرار داده شده است که از طریق حملات مهندسی اجتماعی، قربانیان وادار به کلیک بر روی آنها می‌شوند و فایل‌های حاوی ماکروهای مخرب دانلود می‌کنند.

با وجود دستگیری رهبر گروه Cobalt در اوایل سال جاری، این گروه همچنان فعال بوده است. در ماه آگوست این گروه دو بانک را در رومانی و روسیه هدف قرار داده است.

در ادامه فرایند حمله، قربانی یک فایل Word مخرب دانلود می‌کند که شناسایی آن بندرت اتفاق می‌افتد. ماکرو مخرب از cmstp.exe استفاده می‌کند تا اسکریپتی را اجرا کند. از این تکنیک برای دور زدن AppLocker استفاده و در ادامه بدنه بدافزار منتقل می‌شود. 

 

پژوهشگران Palo Alto، کدهای ماکرو استفاده شده در حملات را بررسی کرده‌اند تا نحوه دور زدن سیستم‌های دفاعی توسط آنها را بررسی کنند. پژوهشگران بخش‌های مشترکی را در کدهای ماکروهای فایل‌های PDF کشف کردند، از جمله داده‌های نشست بدست آمده یا اطلاعات ثبت در WHOIS.

 

۴۹