Казахстанский банк Kassa Nova подвергся атаке хакерской группы Cobalt Group

Команда исследователей Check Point Research, подразделение Check Point Software Technologies Ltd. (NASDAQ: CHKP), ведущего поставщика решений в области кибербезопасности по всему миру, обнаружила в Казахстане новую атаку от Cobalt Group — одной из самых опасных групп киберпреступников в мире, передает BNews.kz со ссылкой на сообщение ИТ-компании.

Сообщается, что в Казахстане Cobalt Group разработала очень убедительное фишинговое письмо, содержащее вредоносный документ с логотипом банка Kassa Nova. Самый тревожный факт в этой ситуации: сам документ мог быть загружен с официального сайта банка, что повышало его легитимность и сделало потенциальных жертв менее подозрительными. 

Расследование этой атаки началось, когда специалисты Check Point обнаружили вредоносный документ, размещенный на рекламном сайте банка Kassa Nova, который предоставляет финансовые продукты и услуги населению и малым предприятиям в Казахстане. Вредоносный файл был размещен в хранилище документов банка, из-за чего его было еще легче спутать с легитимным документом:

https://kassanova[.]kz/files/docs/T47188445.doc

После загрузки и запуска документ отображает сообщение-ловушку на русском языке с просьбой включить его содержимое. В сочетании с использованием логотипа банка Kassa Nova в теле документа, жертвы, не сомневаясь, сами запускают встроенные вредоносные макросы.

Включение макросов запускает многоступенчатую цепочку заражения, которая в конечном итоге загружает и запускает инструмент Cobalt Strike, предоставляя злоумышленникам возможность попасть в сеть целевой организации.

Хотя наличие инструментов Cobalt Strike и сотрудничество с центрально-азиатским банком сокращает количество возможных причастных групп до очень короткого списка, необходимы дополнительные доказательства, чтобы сделать вывод, что именно Cobalt Group стояла за этой операцией.

Что сделали специалисты Check Point Research? Они начали с тщательного исследования инструментов, которые использовали разработчики (или участники угроз) в этом случае. Исследователи кропотливо сравнивали файлы, алгоритмы с теми, которые ранее использовали члены Cobalt Group. После учета наложения в TTP, целей и технического сходства с предыдущими атаками, они смогли с высокой степенью достоверности связать эту кампанию с операциями Cobalt Group.

Известно, что группа Cobalt особенно активна в Восточной Европе и Центральной Азии. Оказалось, это даже не первый случай, когда банк Kassa Nova участвовал в атаке, связанной с группой Cobalt: в декабре 2018 года было отправлено вредоносное вложение от адреса электронной почты, принадлежащего одному из сотрудников банка, до других потенциальных целей в финансовом секторе.

Вредоносная электронная почта от банка Kassa-Nova для партнеров. Последняя кампания Cobalt Group выглядит как еще одна хорошо продуманная атака, которая была тщательно спланирована заранее. Cobalt Group, похоже, не беспокоит арест одного из своих лидеров. Скорее, они только расширили набор инструментов и преследует новые цели.

Check Point связался с представителями банка Kassa Nova, как только атака была обнаружена, которые затем подтвердили, что атака была обнаружена внутренними системами и успешно устранена. 

Напомним, что Cobalt Group печально известна своими атаками на тайваньский банк First Bank в 2016 году. Тогда киберпреступникам удалось похитить более 2 миллионов долларов за считанные минуты. Основная специализация Cobalt Group — атака на финансовые организации. Злоумышленники стараются получить доступ к внутренним сетям банков и захватить сервера управления банкоматами.

Члены группировки рассылают фишинговые письма сотрудникам банка, выдавая себя за официальные организации. После заражения компьютеров сотрудников злоумышленники наблюдают за работой банка, изучая его внутреннюю инфраструктуру.

Несмотря на то, что Европол арестовал лидера Cobalt Group в 2018 году, группа остается активной до сегодняшнего дня.