به گزارش
گرداب، طبق گزارش منتشر شده توسط NETSCOUT Arbor، یک گروه APT که از سال ۲۰۱۶ فعال و مشکوک به انجام حملات مختلفی در جهان است، چندین موسسه را مورد هدف قرار داده است.
تیم پاسخگویی و مهندسی تهدیدات NETSCOUT، فعالیتهای فیشینگ جدیدی را در ۱۳ آگوست (۲۲ مرداد) شناسایی کرد که توسط گروه Cobalt انجام گرفته است. معمولا فعالیتهای گروه Cobalt با انگیزههای مالی انجام میگیرند. پیامهای فیشینگ در قالب شرکتهای مالی معتبر ارسال میشوند و از ابزارهایی در آنها استفاده شده که رویکردهای دفاعی ویندوز را دور میزند.
در آدرس اول از یک سند Word مخرب که حاوی اسکریپت VBA مبهمسازی شده است، استفاده شده، در آدرس دوم یک فایل JPEG درج شده که در واقع یک فایل اجرایی مخرب است. پژوهشگران پس از تحلیل این فایلها، دو سرور C&C را کشف کردند که بنظر میرسد متعلق به گروه Cobalt باشد. این عامل تهدید آلودگی را با استفاده از regsvr۳۲.exe و cmstp.exe مخفی میکند.