发现Cobalt Gang 组织活动

Cobalt Gang 组织,目标主要为全球金融机构,最早于2013年底使用Anunak恶意软件发动了针对世界各地金融机构的恶意软件攻击活动。到了第二年,同样的程序员将Anunak恶意软件改进为更复杂的版本,称为Carbanak,直到2016年,犯罪集团基于Cobalt Strike渗透测试软件的定制恶意软件,开发使用更复杂的攻击技术。虽然该组织主要头目今年在西班牙被捕,但是其组织成员仍然在活动,unit42就如何发现Gobale Gang使用做了详细分析。

Cobalt Gang 攻击途径

unit42在整篇文章中主要分析内容:

  1. Gobale Gang组织使用的样本大多依赖于社会工程学和宏文档。PDF中嵌入有效信息躲避AV检测,在PDF中重定向到合法链接。
  2. 宏生成器可识别,unit42根据该组织生成doc宏文档特点编写yara规则。
  3. 针对银行业的电子邮件中PDF文档搜索特殊字符,快速定位可以文档。
  4. 所有PDF文件都嵌入了基于Google重定向的链接,下载Microsoft Office文档文件。
  5. Microsoft Office文档文件包含用于执行代码的宏。这些宏与我们已经表征的构建器的特征相匹配。
  6. 域名和恶意文档文件名都与基于PDF元数据和宏构建器结构可批量搜索。
  7. 通过WHOIS信息比对,发现攻击者其他域名和站点,关键特征:grigoredanbanescu

 

IOCs:

见报告

报告:

New Techniques to Uncover and Attribute Cobalt Gang Commodity Builders and Infrastructure Revealed

发表评论

电子邮件地址不会被公开。 必填项已用*标注