圖片來源: 

Arbor Networks

專門銷售網路安全暨網路監控軟體的Arbor Networks周四(8/30)指出,惡名昭彰的金融駭客集團Cobalt在本月中旬展開新一波的攻擊行動,初期鎖定的對象為俄羅斯與羅馬尼亞的銀行。

至少從2016年底就展開攻擊的Cobalt又被稱為Carbanak或FIN7集團,該集團主要鎖定全球的金融組織,經常使用ATM惡意程式發動攻擊,研究人員也相信Cobalt亦是針對SWIFT銀行系統進行一連串攻擊的主謀,受害的金融組織估計已超過100家,包括台灣的第一銀行在內。

Cobalt集團不僅攻擊目標遍及全球,成員也散布在全球各地,歐洲刑警組織(Europol)在今年3月宣布已逮捕Cobalt的首領,美國司法部亦於今年8月表示已逮捕隸屬於該集團的烏克蘭駭客,然而,Arbor Networks的研究顯示此一駭客集團並未因此而收手。

Arbor Networks是在今年8月中旬發現Cobalt集團再度發動攻勢,針對俄羅斯的NS Bank與烏克蘭Patria Bank兩家銀行寄出網釣郵件,在寄件人部份偽裝成這兩家銀行的合作夥伴或供應商,這些郵件內容看起來是良性的,卻在郵件中夾雜著兩個惡意連結。

其中一個連結指向一個含有惡意程式的Word檔案,另一個則是指向假冒為JPG檔的惡意程式,這兩個檔案所執行的惡意程式連結兩個不同、但都由Cobalt掌控的C&C伺服器,它們都是後門程式,目的是建立一個入口,以供未來載入其它惡意程式所用。

研究人員表示,他們並不確定駭客為何要在同一封郵件中使用兩個不同的感染途徑,也許只是為了增加感染機率。

這並非是Cobalt集團慣常使用的攻擊手法,研究人員向Threatpost透露,鎖定ATM的攻擊不但曠日廢時,還得協調取錢任務,針對SWIFT系統的攻擊速度較快,且每次攻擊平均可帶來超過150萬美元的收入,在新一波的網釣攻擊中,尚無法確定駭客下一步的作法,也有可能連駭客自己都不知道,只是先行建立入口。


Advertisement

更多 iThome相關內容