Фишинговые письма по-прежнему остаются популярным методом проникновения злоумышленников в информационную инфраструктуру банков. Но если раньше они использовали письма с поддельным адресом отправителя, то теперь активно атакуют поставщиков и партнеров, чтобы использовать взломанные учетные записи реальных сотрудников для развития атаки на финансовые организации. Кроме того, злоумышленники присылают вредоносные файлы под видом предупреждений Центробанка, и атакуют личные почтовые ящики сотрудников банков, а не только их рабочие адреса.
Такие наблюдения содержатся в новом отчете компании Positive Technologies, посвященном деятельности преступной группы Cobalt. Группа известна с 2016 года, когда она атаковала ряд банков СНГ и Восточной Европы. Атаки Cobalt начинаются с целевой рассылки фишинговых писем сотрудникам банка. Когда сотрудник открывает вредоносное вложение, его компьютер заражается, а затем атака распространяется внутри сети банка, вплоть до систем управления банкоматами. Заражение банкоматов, в свою очередь, позволяет злоумышленникам похищать из них крупные суммы денег.
Деятельность группы была разоблачена в 2016 году благодаря расследованиям, в которых принимали участие в том числе и эксперты Positive Technologies. По их результатам FinCERT России начал активно предупреждать кредитно-финансовые организации об активности группы Cobalt. Однако это не остановило злоумышленников: в ответ на защитные меры они стали использовать более изощренные методы атак. Вот некоторые особенности деятельности Cobalt, выявленные экспертами Positive Technologies в 2017 году:
- Поддельные домены. Когда большую часть фишинговых писем с подделанным адресом отправителя стали блокировать спам-фильтры, злоумышленники начали активнее использовать поддельные домены, схожие по написанию с адресами реальных организаций. На сегодняшний день в результате совместной работы экспертов Positive Technologies и отраслевых регуляторов все фишинговые домены, выявленные в зоне .ru, и большая часть доменов в других зонах, сняты с делегирования;
- Атаки через контрагентов. В 2017 году группа Cobalt стала активно атаковать различные компании, сотрудничающие с банками, а затем рассылать фишинговые письма из инфраструктур атакованных организаций с использованием учетных записей и почтовых адресов их сотрудников. Такой подход обеспечивает высокий уровень доверия к отправителю. Успешности атак способствует и тематика писем: в начале 2017 года 60% фишинговых писем от группы Cobalt были посвящены условиями сотрудничества между банками и их контрагентами;
- Расширение географии атак. В 2017 году к списку традиционных целей Cobalt в странах СНГ, Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Западной Европе, а также в Северной и Южной Америке. При этом 75% компаний в фишинговой рассылке связаны с финансами, а оставшиеся 25% относятся к другим сферам (государственные организации, телекомы, услуги и развлечения, и др). Очевидно, их атакуют, чтобы использовать в качестве промежуточного звена;
- Рассылки от имени регуляторов по теме информационной безопасности. Подобные письма злоумышленники рассылали с поддельных доменов, в том числе от лица платежных систем VISA и Mastercard, FinCERT Центрального Банка России и Национального Банка Республики Казахстан;
- Рассылки на личные адреса сотрудников организаций, а не только на корпоративные почтовые ящики. При этом рассылки проводятся таким образом, чтобы письма доставлялись в рабочее время получателей. Таким образом, даже просматривая личную почту, пользователь скорее всего заразит офисный компьютер;
- Использование последней версии Microsoft Word Intruder 8 для создания документов, эксплуатирующих уязвимость CVE-2017-0199. Группа Cobalt в числе первых получила доступ к ограниченной версии экплойт-билдера MWI, что позволяет предположить связь между злоумышленниками и разработчиком данного экплойт-билдера.
Авторы исследования отмечают, что на данный момент нет возможности достоверно оценить фактические убытки компаний от деятельности группы Cobalt в 2017 году ― однако, исходя из масштабов деятельности группы по всему миру, нельзя исключить серьезные последствия для финансовых организаций в ближайшем будущем.
«Помимо банков, являющихся уже традиционными для группы Cobalt целями, в число атакованных начали входить и другие, связанные с финансовым сектором, компании: страховые, инвестиционные фонды, брокеры, ― уточняет Эльмар Набигаев, руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies. ― В 2017 году группа активнее начала атаковать контрагентов, чтобы уже через них добраться до банков. Так, например, одной из успешных атак на банк предшествовал взлом инкасаторской компании. При этом защита самого банка для проникновения снаружи была устойчива, но Cobalt воспользовался нюансами современного бизнеса, связанными с зависимостью от многочисленных контрагентов, чей периметр гораздо слабее».