Nova kampanja napada na banke u Istočnoj Evropi
Istraživači su otkrili novu kampanju koja cilja banke u Istočnoj Evropi. Glavne mete su bile NS Bank iz Rusije i Banca Comercială Carpatica/Patria Bank iz Rumunije. Napad na NS Bank je otkriveni od strane istraživača iz NETSCOUT/Arbor Networks ASERT grupe, dok je napada na Patria Bank otkrila kompanija Intel471 sa kojom banka ima ugovor o sajber bezbjednosti. Pregled uzoraka iz obe kampanje naveo je istraživače iz ASERT grupe da za ovu kampanju okrive Cobalt grupu, poznatu i kao CarBanak.
Cobalt grupa je viskosofisticirana hakerska grupa poznata po napadima na finansijske institucije i jackpotting napade na mreže bankomata. Ova grupa se sumnjiči i za napad na SWIFT ( Society for Worldwide Interbank Financial Telecommunication ) komunikacioni sistem za razmjenu finansijskih podataka između banaka.
Kampanja se oslanja na standardnu taktiku u kojoj se phishing mejlovi od finansijskih institucija ili poslovnih partnera. Nekarakteristično ponašanje se odnosi na činjenicu da svaki email sadrži po dva linka na odvojene tačke infekcije sa odvojeni C2 serverima.
Prvi link vodi na malicioznih Word dokument sa obfuskovanom VBA skriptom koja je zadužena za preuzimanje malvera pod nazivom more_eggs koji je korišćen od strane ove grupe u prethodnim operacijama.
Drugi link vodi stranicu sa domenom sličnim finansijskoj instituciji Evropske unije pod imenom SEPA( Single Euro Payments Area ). Link (hxxp://sepaeuropa[.]eu/transactions/id02082018.jpg) pokazuje na binarni malver CobInt/COOLPANTS sa .JPG ekstenzijom. Ovaj malver služi za izviđanje i ima mogućnost preuzimanja dodatnih modula za eksploataciju.
Trenutno nije poznato koji je cilj napadača u ovoj kampanji. Operacije napada na bankomate su vremenski zahtijevnije i uključuju veći stepen koordinacije. Raniji SWIFT napadi su se pokazali kao znatno brži i isplativi, jer je prosječna zarada po incidentu u prosjeku iznosila 1.5 miliona američkih dolara.
Moguće je da će napadači naknadno u zavisnosti od okolnosti odlučiti način izvlačenja novca. Možda je cilj da se ostvari inicijalni pristup u mreži finansijskih institucija. Iako postoji veliki broj koraka između inicijalnog pristupa i povlačenja novca, napad se značajno pojednostavljuje kada se zaobiđu zaštitni mehanizmi.
Izvor:threatpost.com
