هشدارهای افتایی
گروهی از هکرها در حال هدف قرار دادن موسسه‌های مالی هستند و با قرار دادن فایل‌های PDF در ایمیل‌ها از شناسایی توسط سیستم‌های امنیتی جلوگیری می‌کنند. در حملات، کارمندان بانک‌ها مورد هدف قرار گرفته‌اند تا روی لینک‌های مخرب کلیک کنند.
به گفته پژوهشگران Palo Alto، این هکرها بخشی از گروه Cobalt هستند که فایل‌های PDF را برای کارمندان ارسال می‌کنند. این فایل‌ها حاوی اکسپلویت نیستند، اما در آنها لینک‌هایی قرار داده شده است که از طریق حملات مهندسی اجتماعی، قربانیان وادار به کلیک بر روی آنها می‌شوند و فایل‌های حاوی ماکروهای مخرب دانلود می‌کنند.
با وجود دستگیری رهبر گروه Cobalt در اوایل سال جاری، این گروه همچنان فعال بوده است. در ماه آگوست این گروه دو بانک را در رومانی و روسیه هدف قرار داده است.
در ادامه فرایند حمله، قربانی یک فایل Word مخرب دانلود می‌کند که شناسایی آن بندرت اتفاق می‌افتد. ماکرو مخرب از cmstp.exe استفاده می‌کند تا اسکریپتی را اجرا کند. از این تکنیک برای دور زدن AppLocker استفاده و در ادامه بدنه بدافزار منتقل می‌شود. 
پژوهشگران Palo Alto، کدهای ماکرو استفاده شده در حملات را بررسی کرده‌اند تا نحوه دور زدن سیستم‌های دفاعی توسط آنها را بررسی کنند. پژوهشگران بخش‌های مشترکی را در کدهای ماکروهای فایل‌های PDF کشف کردند، از جمله داده‌های نشست بدست آمده یا اطلاعات ثبت در WHOIS.

نشانه‌های آلودگی (IoC):
پیام‌های Outlook:
•    477c432382c97648767ee45c264f0f2aaf8d3d9f9ed547d8418db12b7c140760
•    e0f1dbc10088b68f772ee73b0785c3d67b8e5f147b687911613d163ad5ebda6d
•    e6a17617eaa98c49bfb2c9d3d090ffea69bb0c1864c43861bdf8d027339ea847
اسناد آفیس:
•    020ba5a273c0992d62faa05144aed7f174af64c836bf82009ada46f1ce3b6eee
•    8004601c08983420408d2784e2a4aa79de426d41a09726a884edcb21f83ee7f8
•    d8a2384a51cd59f6390e6a4fcb04b51358cdbd5e04cae5be23daae548c306a73
•    161ba501b4ea6f7c2c8d224e55e566fef95064e1ed059d8287bc07e790f740e8
•    62a278119d732e4c839ee074553f087588a9040be027bdf9e617413c6fd2e9af
•    641d692386dab5ca60f4c6b1da0edecc5c3473c9a7d187dad6098786404780a3
•    07a3355f81ff69a197c792847d0783bfc336181d66d3a36e6b548d0dbd9f5a9a
•    161ba501b4ea6f7c2c8d224e55e566fef95064e1ed059d8287bc07e790f740e8
•    12ecb6b3780cd19ea84f6e84e816a701e8231441bf90145481baa0648139e001
•    a6f941fcec01fb006fc51df96396aeeb826cdf3864756669e19cb145fe41692f
•    19dc9b93870ddc3beb7fdeea2980c95edc489040e39381d89d0dfe0a825a1570
•    cb5644bd670dcd9caf5185ebe396996e514ed1d93982157186611135aea79bd3
•    a0111977c79f4eb30511f22055b54e4e973c0501240f3ba462691b1b4999d561
اسناد PDF:
•    3a7525ffa571775aca45551ebd2c192d9b8ed45db1a61bdd8398d91db885d7a2
•    1d0aae6cff1f7a772fac67b74a39904b8b9da46484b4ae8b621a6566f7761d16
•    1c1a6bb0937c454eb397495eea034e00d1f7cf4e77481a04439afbc5b3503396
•    187e0d911cd0393caad1364ded1c394257cd149898b31f9718c7c6319af79818
•    988d430ce0e9f19634cf7955eac6eb03e3b7774b788010c2a9742b38016d1ebf
•    852f11e5131d3dab9812fd8ce3cd94c1333904f38713ff959f980a168ef0d4ce
•    9d6fd7239e1baac696c001cabedfeb72cf0c26991831819c3124a0a726e8fe23
•    5ac1612535b6981259cfac95efe84c5608cf51e3a49b9c1e00c5d374f90d10b2
•    df18e997a2f755159f0753c4e69a45764f746657b782f6d3c878afb8befe2b69
•    a5f2ad08b5afdbd5317b51d0d2dd8f781903522844c786a11a0957a81abfd29e
•    66bd5e492531adf675897de5de8aee427b896c9b2c406daff006ce6a4e8aa810
•    1fd9ba8eb97bf03cd4d3cbaac867595c920f1f36ebfbe9c1fc76558ea5e0ece5
•    d5328e519daadaf1520619da1f24f6d81d23c84222640058bbb366752be93537
•    94c9fa812cebb733eda3a4eed33a0a49b60c207bb0f9153c0d08724c8b30f578
•    07f60611836c0a679c0fb2e25f5caeb4d29cd970919d47f715666b80be46f45c
•    7b9c183dc40c8d765e98024f8fb6565c69dee2bb97957c5ba754a23d2698bf7a
•    195580b78e144f66ac1f9be2b927d7828ed1dc3974dc1897e0ed59a96ac8f4e1
•    444c63bb794abe3d2b524e0cb2c8dcc174279b23b1bce949a7125df9fab25c1c
•    07f60611836c0a679c0fb2e25f5caeb4d29cd970919d47f715666b80be46f45c
•    7629dfcc9345578626a250afb67027955c6f78dd80b771c2968c5be0d4b11c59
•    195580b78e144f66ac1f9be2b927d7828ed1dc3974dc1897e0ed59a96ac8f4e1
•    b92707ebfaa15225064ff3a1a7d279b3dde1e70200e37d0074e9acc160cb16a7
•    ebf309ecd6c7a0911e1252d9e90fd302bfbd3e1d2679772025bdb9cc38bca141
•    57f65ecb239833e5a4b2441e3a2daf3513356d45e1d5c311baeb31f4d503703e
دامنه‌ها:
•    alotile[.]biz
•    fundsxe[.]com
•    s3[.]sovereigncars[.]org[.]uk
•    safesecurefiles[.]com
•    document[.]cdn-one[.]biz
•    mail[.]halcyonih[.]com
•    transef[.]biz
دامنه‌های ثبت شده با grigoredanbanescu:
•    arubrabank[.]com
•    outlook-368[.]com
•    usasecurefiles[.]com
•    safesecurefiles[.]com
•    ms-server838[.]com
•    msoffice-365[.]com
•    total-share[.]biz
•    bank-net[.]biz
•    cdn-one[.]biz
•    total-cloud[.]biz
•    web-share[.]biz
•    cloud-direct[.]biz
•    n-document[.]biz
•    my-documents[.]biz
•    firstcloud[.]biz
•    yourdocument[.]biz
•    xstorage[.]biz
•    safe-cloud[.]biz
•    via24[.]biz
•    zstorage[.]biz
•    webclient1[.]biz
•    bnet1[.]biz
•    firstcloud[.]biz
•    mycontent[.]biz
•    total7[.]biz
•    freecloud[.]biz
•    contents[.]bz
•    judgebin[.]bz
URLها:
•    hxxp://www[.]pedidoslalacteo[.]com[.]ar/Proof-of-payment-19.09.2018.doc
•    hxxps://s3[.]sovereigncars[.]org[.]uk/inv005189.pdf
•    hxxps://alotile[.]biz/Document092018.doc
•    hxxps://goo[.]gl/mn7iGj
•    hxxps://document[.]cdn-one[.]biz/doc000512.pdf
•    hxxps://safesecurefiles[.]com/doc041791.pdf
•    hxxp://www[.]mky[.]com/Proof-of-payment-19.09.2018.doc
•    hxxps://mail[.]halcyonih[.]com/uploads/doc004718538.pdf
•    hxxps://e-dropbox[.]biz/doc058915654e.pdf
•    hxxp://www[.]bit[.]do/etaYk
•    hxxps://cloud-direct[.]biz/doc0047581678.pdf
•    hxxps://transef[.]biz/Doc102018.doc
نام فایل‌های مشاهده شده:
•    Document082018.doc
•    REMITTER REFERENCE PMT.pdf
•    Aml_S0680260A79301.pdf
•    CIT180126-000768.pdf
•    AMENDMENT.pdf
•    Citi720TEME171440008_Query.pdf
•    Query _S-170526-005399.pdf
•    Document092018.doc
•    Proof of payment 19.09.2018.doc
•    Document092018.doc
•    doc005681.doc

منابع:
https://researchcenter.paloaltonetworks.com/2018/10/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/
https://www.scmagazineuk.com/cobalt-gang-targets-banks-financial-service-providers-sneaking-pdfs-past-staff/article/1497401
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.