Noll
Avancerade ihållande hot mot grupp (APT) Kobolt Gänget, även känd som Guld Kingswood, är att sprida SpicyOmelette skadlig kod i kampanjer som är inriktade på finansiella institutioner över hela världen.
I en värld där it-angrepp mot företag och konsumenter sprider sig och utvecklas i naturen och finess, det är ofta ekonomiska institutioner som bär bördan.
Banking-kunder förda bakom ljuset av bedrägliga system eller de som blivit offer för stöld genom förlusten av sina finansiella meriter kommer ofta att försöka få tillbaka förlorade pengar — som bankerna tycks variera när det kommer till ersättning.
Vissa banker försök att lägga ansvaret för bedrägerier på sina kunders fötter för att minska kostnaderna. Det är dock inte bara kunder som kan bli offer, men institutionerna själva.
Läs vidare: Här är en överraskande lektion lärde jag mig som ett offer för betalkort bedrägeri
En fet bank heist 2017 var hänföras till Lazarus, som lyckats lura anställda till att överföra 80 miljoner dollar från Central Bank of Bangladesh New York Federal Reserve konto.
Detta följdes av en ekonomisk förlust på $13,5 miljoner drabbats av Kosmos Bank, en av Indiens äldsta finansiella institutioner. Malware infekterade bankens ATM-server för att underlätta stöld av kundernas kreditkortsuppgifter av kunder, tillsammans med SWIFT bank-koder som krävs för att göra transaktioner.
Cyberbrottslingar att infiltrera dessa system kan göra en dödande. Carbanak ensam har lyckats stjäla minst $1 miljarder kronor från banker över hela världen, och nu, Kobolt är tillbaka på scenen med en ny kampanj mot liknande mål.
TechRepublic: PCI compliance halka för första gången på 6 år, men DET är fortfarande på topp
På torsdag, forskare från Secureworks Motverka Hot Unit (CTU) sade att gruppen är “med hjälp av sina omfattande resurser och nätverk insikter för att målet högt värde finansiella organisationer runt om i världen.”
Kobolt är en sofistikerad hacka grupp som är känd för att driva med högt värde finansiella mål snarare än att fördjupa sig i massa spam-kampanjer eller enskilda referens stölder. Aktiv sedan åtminstone år 2016, APT specialiserat sig på målinriktad, network intrusion för att få tillgång till system som kan äventyras vid tillämpningen av stöld.
Hacka koncernens senaste kampanjer är inte annorlunda.
CTU har övervakas Kobolt under loppet av detta år och har upptäckt utbyggnaden av SpicyOmelette, en skadlig verktyg som används under de inledande faserna av en attack mot en finansiell institution.
CNET: Trump OKs “offensiva it-verksamhet” som avskräckande mot OSS rivaler
SpicyOmelette (DOC2018.js) är en sofistikerad JavaScript för fjärrkontrollen som ger angripare fjärråtkomst till ett infekterat system.
Malware är i allmänhet levereras via nätfiske e-postmeddelanden som innehåller vad som verkar vara en .PDF-filen. Dock bör ett offer — till exempel en bank anställd, klicka på den fil, som de omdirigeras till en Amazon Web Services (AWS) URL kontrolleras av Kobolt.
Denna sida sedan installerar SpicyOmelette, som är undertecknat av ett giltigt och betrodd certifikatutfärdare (CA).
Urvalet av SpicyOmelette hittas av säkerhet forskare också “gått parametrar för att en giltig Microsoft-verktyg, vilket gjorde att hotet aktörer att exekvera godtycklig JavaScript-kod på en äventyras systemet och förbi många program-vitlista försvar”, enligt teamet.
När SpicyOmelette har installerats på en dator malware är ett viktigt fotfäste i target-systemet för operatörerna.
Det skadliga programmet kan skörda machine information såsom IP-adress, system namn, och kör programmet listor, installera ytterligare skadlig kod nyttolaster och söker även efter förekomsten av totalt 29 antivirus verktyg.
SpicyOmelette banar väg för eskalering av behörigheter via stöld av lösenord, identifiering av system som innehåller lukrativa finansiella data eller transaktion förmågor — inklusive betalning gateways och ATM arkitekturer — och distribution av post-infektion verktyg som är speciellt utformade för att angripa dessa system.
Se även: Hur hackare lyckades stjäla $13,5 miljoner i Kosmos bankrån
Kobolt har varit ansluten till stöld av miljontals dollar från finansiella institutioner över hela världen och tros ha orsakat över 1 miljard euro i skadestånd. Trots gripandet av APT: s misstänkta ledare i år, den grupp visar inga tecken på att stanna.
“Gripanden av misstänkta Guld Kingswood aktörer i Mars 2018 inte motverka hotet koncernens kampanjer, sannolikt på grund av dess omfattande nätverk av resurser,” CTU säger. “[Vi] förväntar sig Guld Kingswood verksamhet och verktyg för att fortsätta att utvecklas, och finansiella organisationer av alla storlekar och i olika länder kan vara utsatt för hot från den här gruppen.”
“Hotet koncernens detaljerad förståelse av de finansiella systemen och historia av framgångsrika kampanjer och göra det till ett formidabelt hot,” forskarna lade till.
Tidigare och relaterade täckning
Små och medelstora företag står inför kostar upp till $2,5 miljoner efter ett dataintrång Apple MacOS Mojave zero-day integritet bypass sårbarhet visade Trojan malware kampanj utökar med attacker mot nya banker
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0