近期，安恒獵影威脅分析團(tuán)隊監(jiān)測發(fā)現(xiàn)有多個可疑文檔通過釣魚郵件的方式向國內(nèi)金融行業(yè)單位的人員發(fā)起攻擊，經(jīng)分析該活動與Cobalt 組織有關(guān)。

Cobalt Group是一個具有高技術(shù)水準(zhǔn)的威脅組織，由于其使用基于Cobalt Strike滲透測試套件的定制惡意軟件而命名，主要針對金融行業(yè)。其活動目標(biāo)區(qū)域覆蓋東歐、中亞和東南亞等地區(qū)，自2017年后該組織的攻擊目標(biāo)擴(kuò)大到了北美、西歐和南美的一些國家。從此次真實(shí)攻擊被發(fā)現(xiàn)，說明我國也屬于其攻擊目標(biāo)范圍區(qū)域內(nèi)，主要攻擊對象鎖定為金融機(jī)構(gòu)，不排除包含其他機(jī)構(gòu)。自2016年被國外安全廠商披露以來，該組織仍在持續(xù)進(jìn)行攻擊、技術(shù)更新。Cobalt Group善于使用魚叉式網(wǎng)絡(luò)釣魚攻擊，并始終利用技術(shù)先進(jìn)的武器庫。也有報告顯示該組織和Carbanak組織有所關(guān)聯(lián)，因其攻擊手法和流程并未發(fā)生太多變化，只有武器庫發(fā)生變化，也可能由于其歷史時期攻擊目標(biāo)及規(guī)模的轉(zhuǎn)變，必須通過特定手法和更高級的技術(shù)手段在網(wǎng)絡(luò)空間中隱藏自身。另外，可以比較肯定的是該組織由多人組成，其中一名領(lǐng)導(dǎo)人于2018年初在西班牙被捕，但攻擊依然活躍。

梳理回顧

Cobalt Group于2016年11月由group-ib率先披露并命名，并可以關(guān)聯(lián)到Carbanak組織，該組織的攻擊行動最早可追溯到2013年。所以基于命名可以將該組織區(qū)分為兩個時期。

2013--2016 Carbanak時期：

使用Anunak、Carbanak惡意軟件攻擊金融機(jī)構(gòu)，2015年到2016年間發(fā)起“Buhtrap行動”。

2016--至今CobaltGroup時期：

使用基于Cobalt Strike滲透測試套件的定制惡意軟件，漏洞利用工具套件，租用MaaS（惡意軟件即服務(wù)）等對俄羅斯、獨(dú)聯(lián)體、歐洲、亞洲、美洲等地區(qū)的金融機(jī)構(gòu)或其他機(jī)構(gòu)發(fā)起攻擊。

攻擊區(qū)域

Cobalt Group的攻擊區(qū)域主要包括東歐、中亞和東南亞，2017年后還延伸到了包括北美、西歐甚至南美等地區(qū)。

攻擊目標(biāo)

Cobalt Group的核心攻擊目標(biāo)為金融行業(yè)，在金融行業(yè)中大多數(shù)為銀行，其他機(jī)構(gòu)包括金融交易所、投資基金、保險公司和借貸機(jī)構(gòu)等。其他攻擊目標(biāo)包括政府、電信、互聯(lián)網(wǎng)、服務(wù)供應(yīng)商、制造業(yè)、娛樂、衛(wèi)生保健等。

獲利手法

1、該組織通過攻擊銀行，滲透到銀行內(nèi)部，得到ATM系統(tǒng)的控制權(quán)限，在預(yù)定時間預(yù)定地址的ATM機(jī)處，等候ATM機(jī)自動吐出現(xiàn)金。攻擊支付系統(tǒng)、SWIFT服務(wù)及線上交易系統(tǒng)通過匿名轉(zhuǎn)賬等方式進(jìn)行獲利。

2、通過攻擊金融交易所，通過哄抬股價、高位賣出的操作手段，以一種導(dǎo)致股價快速波動的方式激勵某些公司的股票購買或出售，該組織從中套利。

3、通過攻擊政府組織和部委，以便作為攻擊其他目標(biāo)的基石。

4、其他攻擊目標(biāo)獲利方式未明，仍然存在其他未探知的活力手法。

運(yùn)作方法

在Cobalt Group發(fā)起的攻擊中絕大多數(shù)情況是通過社會工程學(xué)和魚叉式網(wǎng)絡(luò)釣魚方式進(jìn)行的。

準(zhǔn)備階段（偵察、武器化）

該組織會購買或自制武器形成武器庫，尋找互聯(lián)網(wǎng)上存在漏洞的網(wǎng)站或購買（虛擬）主機(jī)作為掛馬地址存放后門程序，注冊Email地址，注冊釣魚域名，配置SPF防止郵箱拒絕釣魚郵件接收或當(dāng)作垃圾郵件，配置后門程序和網(wǎng)絡(luò)回連。

投遞階段（投遞）

這些投遞的郵件經(jīng)常被偽裝為合法公司或者監(jiān)管機(jī)構(gòu)。該組織會預(yù)先注冊和合法公司或機(jī)構(gòu)非常相似的域名，或有時也會滲透入一些合法公司和機(jī)構(gòu)拿到員工郵箱，通過這些域名郵箱投遞給目標(biāo)以降低目標(biāo)警惕性。

郵件內(nèi)容往往經(jīng)過精心描述，帶有極強(qiáng)的欺騙性。

投遞的郵件中帶有附件，投遞附件的類型包括Backdoor Dropper程序（.scr、.exe）、LNK文件、帶有漏洞利用的Office文檔、帶有惡意VBA宏的Office文檔、帶有惡意URL鏈接的PDF文檔、加密的ZIP壓縮文件。

有些時候也會直接將釣魚URL地址直接寫在偽裝的郵件內(nèi)容中，點(diǎn)擊并進(jìn)行后續(xù)操作，則會感染惡意軟件。

利用階段（利用、安裝植入）

目標(biāo)人員查看郵件并運(yùn)行郵件附件或鏈接，目標(biāo)設(shè)備被植入后門（包括Cobalt Strike Beacon、More_eggs、CobInt等）。

收割階段（命令與控制、目標(biāo)達(dá)成）

根據(jù)已有突破點(diǎn)進(jìn)行縱橫向滲透繼續(xù)擴(kuò)大成果。如針對銀行目標(biāo)，該組織會攻入ATM控制系統(tǒng)、支付系統(tǒng)、線上交易系統(tǒng)、SWIFT等重要模塊，通過ATM現(xiàn)金提取、線上匿名轉(zhuǎn)賬等方式獲利。

技術(shù)演變

追溯到Carbanak組織時期，Carbanak組織使用自研的Anunak及Carbanak作為主要木馬后門工具。

到了Cobalt Group時期，為了提高隱蔽性，該組織開始棄用自研工具，轉(zhuǎn)向購買利用工具包，使用Cobalt Strike等更通用的裝備，提高在工具使用上的隱蔽性，當(dāng)然在一些場景下也會使用某些自研的特殊工具（如CobInt）。再后期該組織開始租用MaaS（惡意軟件即服務(wù)）解決方案，將更多部分的攻擊鏈外包給第三方，如使用與其他電子犯罪集團(tuán)相同的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，導(dǎo)致C2服務(wù)器重疊等，更加具有混淆性和迷惑性。

感染鏈

該組織在投遞利用過程包含多個組成部分。

投遞載荷部分

包括Backdoor Dropper程序（.scr、.exe）、LNK文件、帶有漏洞利用的Office文檔、帶有惡意VBA宏的Office文檔、帶有惡意URL鏈接的PDF文檔、加密的ZIP壓縮文件。

漏洞及利用部分

投遞的惡意文檔或惡意軟件是通過漏洞利用工具包（MWI、Threadkit、VenomKit等）或其他工具生成的，使用到的漏洞包括CVE-2012-0158、CVE-2015-1641、CVE-2017-0199、CVE-2017-8570、CVE-2017-8759、CVE-2017-11882、CVE-2018-0802、CVE-2018-4878、CVE-2018-8174等。

中間程序部分

這一部分使用了CMSTP、MSXSL、REGSVR、ODBCCONF等程序，目的是為了繞過AppLocker等系統(tǒng)策略。

下載者部分

這部分包括powershell下載者和JScript下載者。

Powershell下載者分為多個階段，先會從C2下載回下一階段的powershell腳本程序并執(zhí)行，然后該階段會解密出shellcode并加載到內(nèi)存中執(zhí)行。

JScript下載者會從C2下載回一個JScript后門程序，可以用來下載最終的有效負(fù)載。

最終負(fù)載部分

目前為止發(fā)現(xiàn)的該組織使用的最終有效負(fù)載主要有3個，Cobalt Strike Beacon、More_eggs以及CobInt。

Cobalt Strike Beacon為Cobalt Strike的利用模塊，可以讓攻擊者對主機(jī)有完全控制，并可以延伸到其他系統(tǒng)。

More_eggs是JS寫的后門程序，存在多個歷史版本，但功能大致相同。More_eggs的命令大致如下：

d&exec下載和執(zhí)行PE文件

more_eggs下載更新文件并更新

gtfo刪除自己和相關(guān)的注冊表記錄

more_onion執(zhí)行新副本

vai_x通過cmd執(zhí)行命令

CobInt是C語言寫的后門程序，命名基于Cobalt組織使用的內(nèi)部DLL文件“int.dll”，它會通過C2下載主組件，主組件會從C2下載并執(zhí)行其余各個利用模塊，CobInt的目的從現(xiàn)有程序來看似乎只是作為偵查目的。

最新演變狀況

最新發(fā)現(xiàn)的攻擊樣本使用了如下的感染鏈：

打開樣本的內(nèi)容為：

這類樣本是由VenomKit漏洞利用工具套件生成的。生成的一個樣本中就包含CVE-2017-11882、CVE-2017-8570、CVE-2017-0199這幾個漏洞，其中CVE-2017-0199會訪問帶CVE-2018-8174 IE瀏覽器漏洞利用的頁面，

另外兩個會使用cmstp加載執(zhí)行inf遠(yuǎn)程地址的JS scriptlet，scriptlet包含JScript Dropper，該JScript Dropper釋放了一個PE后門程序和一個具有欺騙性文檔。

釋放的PE后門程序?yàn)橐粋€后門下載器，這個樣本會結(jié)合使用開源的小軟件程序，使得看似是個正常的小軟件，內(nèi)部加入了惡意代碼，這和Cobalt組織之前被披露的DLL dropper使用合法的dll源碼包含惡意的dropper代碼是相似的。

總結(jié)建議

網(wǎng)絡(luò)空間安全對抗成本逐漸提高，黑客組織、黑產(chǎn)組織等會不斷更新新的武器裝備，無論從工具層面還是戰(zhàn)術(shù)層面都在與時俱進(jìn)，甚至可以達(dá)到保持領(lǐng)先的水準(zhǔn)。Cobalt組織慣于使用售賣的漏洞利用套件、滲透套件和MaaS服務(wù)，其技術(shù)水準(zhǔn)相對較高，并且仍在持續(xù)更新新的技術(shù)及手法。

企業(yè)應(yīng)當(dāng)注重培養(yǎng)人員安全意識，人員的安全意識極為重要。不輕易打開未知來源的郵件及附件，不隨意點(diǎn)擊未知鏈接，不隨意打開未驗(yàn)證可靠來源的文檔。

做好風(fēng)控管理，安全運(yùn)維建設(shè)，核查企業(yè)內(nèi)信息資產(chǎn)，定期對信息資產(chǎn)做更新維護(hù)，不輕易放過任何信息系統(tǒng)，防止從點(diǎn)上被突破。

建立和鞏固安全防御體系，加大防御的廣度和深度，實(shí)現(xiàn)從點(diǎn)到面的布局。

安恒APT預(yù)警平臺能夠發(fā)現(xiàn)已知和未知的威脅，APT預(yù)警平臺的實(shí)時監(jiān)控能力能夠捕獲并分析郵件附件投遞文檔或程序的威脅性，并能夠?qū)︵]件投遞、漏洞利用、安裝植入、回連控制等各個階段做強(qiáng)有力的監(jiān)測。結(jié)合安恒威脅情報系統(tǒng)，可將國內(nèi)外的威脅數(shù)據(jù)進(jìn)行匯總，并分析整個攻擊演進(jìn)和聯(lián)合預(yù)警。