惡名昭彰的金融駭客集團Cobalt攻勢再起，這次鎖定俄羅斯及羅馬尼亞銀行

專門銷售網路安全暨網路監控軟體的Arbor Networks周四（8/30）指出，惡名昭彰的金融駭客集團Cobalt在本月中旬展開新一波的攻擊行動，初期鎖定的對象為俄羅斯與羅馬尼亞的銀行。

至少從2016年底就展開攻擊的Cobalt又被稱為Carbanak或FIN7集團，該集團主要鎖定全球的金融組織，經常使用ATM惡意程式發動攻擊，研究人員也相信Cobalt亦是針對SWIFT銀行系統進行一連串攻擊的主謀，受害的金融組織估計已超過100家，包括台灣的第一銀行在內。

Cobalt集團不僅攻擊目標遍及全球，成員也散布在全球各地，歐洲刑警組織（Europol）在今年3月宣布已逮捕Cobalt的首領，美國司法部亦於今年8月表示已逮捕隸屬於該集團的烏克蘭駭客，然而，Arbor Networks的研究顯示此一駭客集團並未因此而收手。

Arbor Networks是在今年8月中旬發現Cobalt集團再度發動攻勢，針對俄羅斯的NS Bank與烏克蘭Patria Bank兩家銀行寄出網釣郵件，在寄件人部份偽裝成這兩家銀行的合作夥伴或供應商，這些郵件內容看起來是良性的，卻在郵件中夾雜著兩個惡意連結。

其中一個連結指向一個含有惡意程式的Word檔案，另一個則是指向假冒為JPG檔的惡意程式，這兩個檔案所執行的惡意程式連結兩個不同、但都由Cobalt掌控的C&C伺服器，它們都是後門程式，目的是建立一個入口，以供未來載入其它惡意程式所用。

研究人員表示，他們並不確定駭客為何要在同一封郵件中使用兩個不同的感染途徑，也許只是為了增加感染機率。

這並非是Cobalt集團慣常使用的攻擊手法，研究人員向Threatpost透露，鎖定ATM的攻擊不但曠日廢時，還得協調取錢任務，針對SWIFT系統的攻擊速度較快，且每次攻擊平均可帶來超過150萬美元的收入，在新一波的網釣攻擊中，尚無法確定駭客下一步的作法，也有可能連駭客自己都不知道，只是先行建立入口。