Компания Positive Technologies опубликовала полугодовой отчет по деятельности хакерской группировки Cobalt.
Хакеры российской группировки Cobalt, известные своими атаками на финансовые учреждения в 2016 году, значительно расширили сферу деятельности. Теперь хакеров интересуют не только банки, но и биржи, страховые компании, инвестфонды и другие организации. Об этом сообщается в отчете компании Positive Technologies.
В первой половине 2017 года Cobalt разослала фишинговые письма, содержащие вредоносный файл, от имени Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и Национального банка Республики Казахстан. Письма получили более 3 тыс. человек из 250 компаний в 12 странах мира. При этим, письма отправлялись не только на корпоративные почтовые адреса, но и на личные адреса сотрудников, поскольку сотрудники могут проверять личную почту на рабочем месте.
Обычно такие письма содержат вредоносный файл, заражающий систему после его открытия/запуска. Как правило, злоумышленники используют документы Microsoft Office (файлы с расширениями .doc, .xls, .rtf), а также архивы с исполняемыми файлами (расширения .scr, .exe, .lnk). Как отмечается в отчете, Cobalt в числе первых заполучили доступ к последней версии эксплойт-билдера Microsoft Word Intruder 8 и использовали инструмент для эксплуатации уязвимости CVE-2017-0199.
Согласно статистике Positive Technologies, в среднем 20-30% сотрудников открывают потенциально-опасные вложения, предоставляя злоумышленникам доступ к своим компьютерам.
С полной версией отчета можно ознакомиться здесь .
