- A+
威胁参与者已更新其恶意软件,以包含基于宏的交付框架。
尽管今年早些时候Cobalt Group的头目被高调逮捕,黑客集体背后的威胁行为者正逐渐加剧其恶意行为。 在对威胁集团进行的一项新分析中,Cobalt集团最近发现其在新一代版本的ThreadKit恶意软件中更新其武器库,该集团以过去几年对东欧银行的广泛攻击而闻名。
安全公司Fidelis周二发布的一份报告(PDF)中,研究人员概述了一些新的发展,包括:
- 尽管今年早些时候一位关键成员被捕,但Cobalt集团仍然保持活跃。
- 恶意软件ThreadKit的新版本于2018年10月正在积极分发。
- CobInt木马使用基于XOR的混淆技术。
钴集团重新出现
Cobalt集团于2013年首次亮相,并在2016年因欧洲各地银行和ATM累积奖金广告的广泛攻击而名声大噪。 在一个单一的活动中,它被认为是从六个东欧自动柜员机中窃取超过32,000美元。 在接下来的几年中,Cobalt Group将其重点扩展到包括金融部门的网络钓鱼计划和新的地区,包括北美和南美。
3月份,当欧洲刑警组织宣布逮捕西班牙阿利坎特集团背后的“犯罪策划者”时,Cobalt集团遭受了严重打击。 从那时起,该集团在5月被Positive Technology观察为针对金融行业的长枪钓鱼活动背后的罪犯,其目标是诱使受害者下载JavaScript后门。
“2017年,他们将目标从银行扩展到包括供应链公司,金融交易所,投资基金以及北美,西欧和南美的贷方。 2017年使用的工具包括PetrWrap ,more_eggs,CobInt和ThreadKit,“在报告中与Fidelis威胁研究小组进行威胁研究的主要人物Jason Reaves写道。
ThreadKit 2.0
在钴业集团领导人被捕后,该集团于5月被发现改变其策略。 为此,Cobalt Group开始关注用于Microsoft Word( CVE-2017-8570,CVE-2017-11882和CVE-2018-0802 )中的远程代码执行的漏洞利用,其中一个特别是现在修补的2017年4月零 -天虫 ( CVE-2017-0199 )。
“在2018年10月,[我们]确定了一个新版本的ThreadKit。 根据Cobalt Group的典型方法,恶意软件是通过网络钓鱼电子邮件发送的,其中包含一个RFT Microsoft Office附件,其中包含2017年10月首次发现的漏洞构建工具包的演进版本,“根据Fidelis的说法。 “[此] ThreadKit的新版本[利用]众多演员和团体销售和使用的宏交付框架。”
Fidelis对ThreadKit的最新分析还指出了漏洞利用工具包中的“轻微演变”,旨在更好地隐藏检测。 混淆技术包括“将'M'从可执行文件的'MZ'放入其自己的对象中,现在重命名其中的一些对象。”
Fidelis还指出了这一更新,其中包括一个新的下载URL,其中恶意软件代码“对象”从中下载并随后组合在一起以创建可执行文件。 “嵌入文件中的一些亮点显示了对block.txt的检查,这与之前版本的kill-switch实现类似,”Reaves写道。
CobInt采用新的混淆技巧
ThreadKit有效载荷是特洛伊Coblnt,长期以来一直是Cobalt Group的最爱。 为了进一步阻止分析和检测,攻击者添加了另一层混淆,一个用于解码初始Coblnt有效载荷的XOR例程。 XOR或XOR密码是一种基于一组已知原理的加密算法。 可以通过应用和重新应用XOR功能来执行加密和解密。
“这里有趣的是,XOR键被减法值替换,减法值被先前读取的DWORD值替换。 因此,唯一需要的值是硬编码的XOR密钥,这意味着可以使用Z3等定理证明器在数学上解决这一问题,“研究人员指出。
解码后的有效载荷是CobInt DLL,加载后将“坐在一个循环中,并将信号发送到C2并等待执行命令和模块”,据Fidelis说。
菲德利斯和其他研究人员表示,逮捕Cobalt集团成员只会暂时减缓Carbanak / Cobalt威胁演员。 在卡巴斯基实验室最近的一项分析中,研究人员表示,钴逮捕只会使成员们胆大妄为,并加速了将这些团体分成更小的细胞的过程 。
