一种新型攻击手法:供应链攻击

本文涉及的产品
.cn 域名,1个 12个月
简介: 本文讲的是 一种新型攻击手法:供应链攻击,Positive Technologies 揭示:今年早些时候将行动扩张至美国后,金钱驱动的“Cobalt”网络犯罪团伙改变了战术,如今采用供应链攻击对公司企业的合作伙伴下手。

本文讲的是 一种新型攻击手法:供应链攻击,Positive Technologies 揭示:今年早些时候将行动扩张至美国后,金钱驱动的“Cobalt”网络犯罪团伙改变了战术,如今采用供应链攻击对公司企业的合作伙伴下手。

image

Cobalt在2016年被发现,目前全球范围内活跃,可快速应对银行的保护措施,其对公司员工基础设施和账户的恶意使用就是明证。研究人员称,为诱骗接受者打开来自非法域名的网络钓鱼邮件,该团伙还会使用安全监管机构的名号。

该组织的目标是银行、金融交易所、保险公司、投资基金和其他金融机构。攻击者将网络钓鱼消息伪装成来自金融监管者的邮件,并运用多种格式的恶意附件诱骗目标上当,包括恶意文档或打包进可执行文件/快捷方式文件的ZIP压缩包。

这伙黑客是最先使用微软 Word Intruder 8 漏洞利用生成器最新版本的一群人,今年4月才被修复的 CVE-2017-0199 漏洞也在他们的利用列表中。该团伙还滥用防护不良的公开网站投送恶意文件到受害者电脑,向公司企业和目标雇员的个人邮件地址投递网络钓鱼邮件。

去年,该组织针对东欧、中亚和东南亚的金融机构下手,但今年,目标列表扩张到了北美、西欧甚至南美(阿根廷)。

75%的目标公司身处金融行业,其中90%是银行。但该团伙同样瞄上了金融交易所、投资基金、贷款机构,且研究人员称,这表明很快将有一波攻击针对资金流动量大的各类公司。

除了金融机构,这伙黑客还针对政府、电信/互联网、服务提供商、制造业、娱乐行业和医疗保健公司。“Cobalt攻击政府机构和部门,把他们当成通往其他目标的垫脚石。”

研究人员称,Cobalt攻击的技术方面只是少数几个人负责。这一技术团队似乎还承担了注册恶意域名和发送网络钓鱼邮件的责任。

恶意邮件通常包含一份恶意附件,要么从远程服务器上获取恶意程序释放器,要么附件本身就是含有释放器的密码保护压缩文档。释放器落地后会执行Beacon木马(与FIN7/Carbanak黑客组织有关)。

通过伪造发家信息,该团伙向与银行有合作的特定公司投递网络钓鱼邮件,攻克合作公司后,便开始利用真实雇员的被黑账户和邮件服务器,从这些合作公司的基础设施发送网络钓鱼消息。因此,最终的接受者有很大可能性信任发家,也就增加了感染的成功率。

攻击者小心选择会被仔细审查的主题栏、收件人地址和附件名称,让接受者打开那些包藏了钓鱼信息的附件。
Cobalt网络钓鱼邮件中,60%都与银行及其合作伙伴间的合作及服务条款有关。安全焦虑也是该组织会采用的一种攻击方法,他们会注册非法域名,冒充VISA、MasterCard、俄罗斯央行的FinCERT部门,还有哈萨克斯坦的国家银行等机构发送消息。

安全研究人员认为,该组织用来向万千接受者发送邮件的自动化工具是 alexusMailer v2.0,一款免费PHP脚本,具备匿名性,提供多线程发送支持。

该组织还使用流传甚广的公开邮件服务,以及可以匿名注册临时地址的服务。

该组织惯于在一周开始的时候注册域名,然后准备黑客工具,再在周末专注利用被黑公司的基础设施发出邮件开展攻击。从域名被注册,到正式应用在攻击行动的平均时间是4天。

因为网络钓鱼邮件是在工作时段发送的,域名就往往是在下午6点到午夜12点之间,这也符合欧洲国家工作日的习惯。
研究人员还抢在攻击开始前,就发现并封锁了新注册的Cobalt网络钓鱼域名,并与俄罗斯和其他国家的行业监管机构合作,阻断了所有.ru域名及与该组织相关的其他顶层域名的代理。

Cobalt组织在2017年造成的损失尚未有确切数字报出。或许来自银行监管机构的警告抵销了部分该组织的钓鱼效果。从Cobalt遍及全球的行动范围判断,银行损失数百万美元是极有可能的。如果对金融交易所的攻击成功执行,那就不仅仅是各公司的直接损失,还要加上对世界货币市场的汇率震荡所造成的损失了。

原文发布时间为:八月 4, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/27196.html

相关文章
|
安全 机器人
揭秘6种最有效的社会工程学攻击手段及防御之策
本文讲的是揭秘6种最有效的社会工程学攻击手段及防御之策,世界第一黑客凯文•米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多公司在信息安全上投入重金,最终导致数据泄露的原因却在人本身。
5245 0
|
28天前
|
存储 安全 网络安全
互联网上如何有效应对网络勒索攻击?
有效应对网络勒索攻击需要采取多方面的措施,从预防、监测到应急响应和数据恢复等多个环节进行综合防护。
43 4
|
5月前
|
人工智能 监控 安全
能源部门如何增强对勒索软件攻击的抵御力?
能源部门如何增强对勒索软件攻击的抵御力?
|
6月前
|
供应链 安全 网络协议
网络安全的行业黑话 ——攻击篇 之攻击方法(2)
网络安全的行业黑话 ——攻击篇 之攻击方法(2)
102 0
|
6月前
|
SQL 安全 网络安全
网络安全的行业黑话 ——攻击篇 之攻击方法
网络安全的行业黑话 ——攻击篇 之攻击方法
110 0
|
6月前
|
安全 测试技术 网络安全
网络安全的行业黑话 ——攻击篇 之攻击者
网络安全的行业黑话 ——攻击篇 之攻击者
103 0
|
6月前
|
安全 网络安全 区块链
网络安全的行业黑话 ——攻击篇 之攻击工具
网络安全的行业黑话 ——攻击篇 之攻击工具
74 0
|
供应链 监控 安全
网络安全小知识分享:什么是供应链攻击?
网络安全小知识分享:什么是供应链攻击?
|
安全 网络安全 区块链
区块链网络成为DDOS威胁的重灾区.
随着大数据时代的快速发展,网络犯罪分子利用大数据技术日渐猖狂,网络安全问题因此频频发生。其中DDoS攻击,从开始针对网站,游戏进行大面积攻击,获取巨大利益后。现将目标已转移到区块链网络中,让其成为DDoS攻击的重灾区。
1323 0
|
安全
IE7漏洞被瞄准 新型攻击将爆发
根据国外今早最新消息,互联网安全公司发现,微软曾在上周发布过补丁的IE7(不是早期版本)漏洞正在被攻击。虽然这种新型攻击现在规模很小,而且看起来很具有针对性,但是有可能会大规模爆发。 趋势科技介绍说,这种攻击始于一个电子邮件中的.doc文件。
709 0
下一篇
无影云桌面