Виявлено нову кампанію кіберзлочинної групи Cobalt Group 2.0, яка після арешту одного з лідерів розділилася та стала ще небезпечнішою. Зловмисники використовують складні методи доставки шкідливого коду, запозичені у груп APT28 (Fancy Bear) і MuddyWater, щоб атакувати фінансові установи по всьому світу.

Що відомо? Атака розпочинається з фішингового документа Microsoft Word із зашифрованим макросом Visual Basic. Цей макрос запускає легітимний процес cmstp.exe (Connection Manager Profile Installer), який завантажує JavaScript-скрипт із домену e-dropbox[.]biz. Скрипт, зашифрований за допомогою RC4 і модифікацій, доставляє Cobalt Strike Beacon або JavaScript-бекдор, що дозволяє хакерам отримувати віддалений доступ до системи. Для ускладнення аналізу код перевіряє назву файлу через ключ реєстру Notepad, запобігаючи виконанню, якщо ім’я змінено. Ці методи дозволяють обходити білі списки та політики AppLocker, роблячи атаку непомітною для традиційних антивірусів.

Як захиститися?

-Уникайте відкриття підозрілих документів і вмикання макросів.
-Перевірте журнали мережі на підключення до доменів, таких як e-dropbox[.]biz.
-Використовуйте інструменти, як Morphisec AMTD, для захисту від атак у пам’яті.
-Увімкніть двофакторну автентифікацію (2FA) для всіх облікових записів.
-Регулярно оновлюйте ПЗ і скануйте систему на вразливості.

Ця кампанія демонструє, як Cobalt Group 2.0 адаптується до сучасних систем захисту. Захистіть свої системи та будьте пильними до фішингових атак!