حملات فیشینگ جدید گروه Cobalt

حملات فیشینگ جدید گروه Cobalt
تاریخ انتشار : ۱۱ شهريور ۱۳۹۷

به تازگی فعالیت های متعددی از گروه فیشینگ cobalt شناسایی شده اند که به طور عمده با انگیزه های مالی صورت پذیرفته است.

به گزارش گرداب، طبق گزارش منتشر شده توسط NETSCOUT Arbor، یک گروه APT که از سال ۲۰۱۶ فعال و مشکوک به انجام حملات مختلفی در جهان است، چندین موسسه را مورد هدف قرار داده است.
تیم پاسخگویی و مهندسی تهدیدات NETSCOUT، فعالیت‌های فیشینگ جدیدی را در ۱۳ آگوست (۲۲ مرداد) شناسایی کرد که توسط گروه Cobalt انجام گرفته است. معمولا فعالیت‌های گروه Cobalt با انگیزه‌های مالی انجام می‌گیرند. پیام‌های فیشینگ در قالب شرکت‌های مالی معتبر ارسال می‌شوند و از ابزارهایی در آنها استفاده شده که رویکردهای دفاعی ویندوز را دور می‌زند.
در آدرس اول از یک سند Word مخرب که حاوی اسکریپت VBA مبهم‌سازی شده است، استفاده شده، در آدرس دوم یک فایل JPEG درج شده که در واقع یک فایل اجرایی مخرب است. پژوهشگران پس از تحلیل این فایل‌ها، دو سرور C&C را کشف کردند که بنظر می‌رسد متعلق به گروه Cobalt باشد. این عامل تهدید آلودگی را با استفاده از regsvr۳۲.exe و cmstp.exe مخفی می‌کند.

منبع: افتا