一種新型攻擊手法：供應鍊攻擊

本文講的是 一種新型攻擊手法：供應鍊攻擊，Positive Technologies 揭示：今年早些時候将行動擴張至美國後，金錢驅動的“Cobalt”網絡幫派改變了戰術，如今采用供應鍊攻擊對公司企業的合作夥伴下手。

Cobalt在2016年被發現，目前全球範圍内活躍，可快速應對銀行的保護措施，其對公司員工基礎設施和賬戶的惡意使用就是明證。研究人員稱，為誘騙接受者打開來自非法域名的網絡釣魚郵件，該團夥還會使用安全監管機構的名号。

該組織的目标是銀行、金融交易所、保險公司、投資基金和其他金融機構。攻擊者将網絡釣魚消息僞裝成來自金融監管者的郵件，并運用多種格式的惡意附件誘騙目标上當，包括惡意文檔或打包進可執行檔案/快捷方式檔案的ZIP壓縮包。

這夥黑客是最先使用微軟 Word Intruder 8 漏洞利用生成器最新版本的一群人，今年4月才被修複的 CVE-2017-0199 漏洞也在他們的利用清單中。該團夥還濫用防護不良的公開網站投送惡意檔案到受害者電腦，向公司企業和目标雇員的個人郵件位址投遞網絡釣魚郵件。

去年，該組織針對東歐、中亞和東南亞的金融機構下手，但今年，目标清單擴張到了北美、西歐甚至南美（阿根廷）。

75%的目标公司身處金融行業，其中90%是銀行。但該團夥同樣瞄上了金融交易所、投資基金、貸款機構，且研究人員稱，這表明很快将有一波攻擊針對資金流動量大的各類公司。

除了金融機構，這夥黑客還針對政府、電信/網際網路、服務提供商、制造業、娛樂行業和醫療保健公司。“Cobalt攻擊政府機構和部門，把他們當成通往其他目标的墊腳石。”

研究人員稱，Cobalt攻擊的技術方面隻是少數幾個人負責。這一技術團隊似乎還承擔了注冊惡意域名和發送網絡釣魚郵件的責任。

惡意郵件通常包含一份惡意附件，要麼從遠端伺服器上擷取惡意程式釋放器，要麼附件本身就是含有釋放器的密碼保護壓縮文檔。釋放器落地後會執行Beacon木馬（與FIN7/Carbanak黑客組織有關）。

通過僞造發家資訊，該團夥向與銀行有合作的特定公司投遞網絡釣魚郵件，攻克合作公司後，便開始利用真實雇員的被黑賬戶和郵件伺服器，從這些合作公司的基礎設施發送網絡釣魚消息。是以，最終的接受者有很大可能性信任發家，也就增加了感染的成功率。

攻擊者小心選擇會被仔細審查的主題欄、收件人位址和附件名稱，讓接受者打開那些包藏了釣魚資訊的附件。

Cobalt網絡釣魚郵件中，60%都與銀行及其合作夥伴間的合作及服務條款有關。安全焦慮也是該組織會采用的一種攻擊方法，他們會注冊非法域名，冒充VISA、MasterCard、俄羅斯央行的FinCERT部門，還有哈薩克斯坦的國家銀行等機構發送消息。

安全研究人員認為，該組織用來向萬千接受者發送郵件的自動化工具是 alexusMailer v2.0，一款免費PHP腳本，具備匿名性，提供多線程發送支援。

該組織還使用流傳甚廣的公開郵件服務，以及可以匿名注冊臨時位址的服務。

該組織慣于在一周開始的時候注冊域名，然後準備黑客工具，再在周末專注利用被黑公司的基礎設施發出郵件開展攻擊。從域名被注冊，到正式應用在攻擊行動的平均時間是4天。

因為網絡釣魚郵件是在工作時段發送的，域名就往往是在下午6點到午夜12點之間，這也符合歐洲國家工作日的習慣。

研究人員還搶在攻擊開始前，就發現并封鎖了新注冊的Cobalt網絡釣魚域名，并與俄羅斯和其他國家的行業監管機構合作，阻斷了所有.ru域名及與該組織相關的其他頂層域名的代理。

Cobalt組織在2017年造成的損失尚未有确切數字報出。或許來自銀行監管機構的警告抵銷了部分該組織的釣魚效果。從Cobalt遍及全球的行動範圍判斷，銀行損失數百萬美元是極有可能的。如果對金融交易所的攻擊成功執行，那就不僅僅是各公司的直接損失，還要加上對世界貨币市場的匯率震蕩所造成的損失了。

原文釋出時間為：八月 4, 2017

本文作者：nana

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。