Positive Technologies 揭示：今年早些時候將行動擴張至美國后，金錢驅動的“Cobalt”網絡犯罪團伙改變了戰術，如今采用供應鏈攻擊對公司企業的合作伙伴下手。

Cobalt在2016年被發現，目前全球范圍內活躍，可快速應對銀行的保護措施，其對公司員工基礎設施和賬戶的惡意使用就是明證。研究人員稱，為誘騙接受者打開來自非法域名的網絡釣魚郵件，該團伙還會使用安全監管機構的名號。

該組織的目標是銀行、金融交易所、保險公司、投資基金和其他金融機構。攻擊者將網絡釣魚消息偽裝成來自金融監管者的郵件，并運用多種格式的惡意附件誘騙目標上當，包括惡意文檔或打包進可執行文件/快捷方式文件的ZIP壓縮包。

這伙黑客是最先使用微軟 Word Intruder 8 漏洞利用生成器最新版本的一群人，今年4月才被修復的 CVE-2017-0199 漏洞也在他們的利用列表中。該團伙還濫用防護不良的公開網站投送惡意文件到受害者電腦，向公司企業和目標雇員的個人郵件地址投遞網絡釣魚郵件。

去年，該組織針對東歐、中亞和東南亞的金融機構下手，但今年，目標列表擴張到了北美、西歐甚至南美(阿根廷)。

75%的目標公司身處金融行業，其中90%是銀行。但該團伙同樣瞄上了金融交易所、投資基金、貸款機構，且研究人員稱，這表明很快將有一波攻擊針對資金流動量大的各類公司。

除了金融機構，這伙黑客還針對政府、電信/互聯網、服務提供商、制造業、娛樂行業和醫療保健公司。“Cobalt攻擊政府機構和部門，把他們當成通往其他目標的墊腳石。”

研究人員稱，Cobalt攻擊的技術方面只是少數幾個人負責。這一技術團隊似乎還承擔了注冊惡意域名和發送網絡釣魚郵件的責任。

惡意郵件通常包含一份惡意附件，要么從遠程服務器上獲取惡意程序釋放器，要么附件本身就是含有釋放器的密碼保護壓縮文檔。釋放器落地后會執行Beacon木馬(與FIN7/Carbanak黑客組織有關)。

通過偽造發家信息，該團伙向與銀行有合作的特定公司投遞網絡釣魚郵件，攻克合作公司后，便開始利用真實雇員的被黑賬戶和郵件服務器，從這些合作公司的基礎設施發送網絡釣魚消息。因此，最終的接受者有很大可能性信任發家，也就增加了感染的成功率。

攻擊者小心選擇會被仔細審查的主題欄、收件人地址和附件名稱，讓接受者打開那些包藏了釣魚信息的附件。

Cobalt網絡釣魚郵件中，60%都與銀行及其合作伙伴間的合作及服務條款有關。安全焦慮也是該組織會采用的一種攻擊方法，他們會注冊非法域名，冒充VISA、MasterCard、俄羅斯央行的FinCERT部門，還有哈薩克斯坦的國家銀行等機構發送消息。

安全研究人員認為，該組織用來向萬千接受者發送郵件的自動化工具是 alexusMailer v2.0，一款免費PHP腳本，具備匿名性，提供多線程發送支持。

該組織還使用流傳甚廣的公開郵件服務，以及可以匿名注冊臨時地址的服務。

該組織慣于在一周開始的時候注冊域名，然后準備黑客工具，再在周末專注利用被黑公司的基礎設施發出郵件開展攻擊。從域名被注冊，到正式應用在攻擊行動的平均時間是4天。

因為網絡釣魚郵件是在工作時段發送的，域名就往往是在下午6點到午夜12點之間，這也符合歐洲國家工作日的習慣。

研究人員還搶在攻擊開始前，就發現并封鎖了新注冊的Cobalt網絡釣魚域名，并與俄羅斯和其他國家的行業監管機構合作，阻斷了所有.ru域名及與該組織相關的其他頂層域名的代理。

Cobalt組織在2017年造成的損失尚未有確切數字報出。或許來自銀行監管機構的警告抵銷了部分該組織的釣魚效果。從Cobalt遍及全球的行動范圍判斷，銀行損失數百萬美元是極有可能的。如果對金融交易所的攻擊成功執行，那就不僅僅是各公司的直接損失，還要加上對世界貨幣市場的匯率震蕩所造成的損失了。