COBALT GROUP

Diğer Adlar:

·       ATK67

·       COBALT GANG

·       COBALT SPIDER

·       GOLD KINGSWOOD

·       TAG-CR3

Hedef Aldıkları Sektörler: Finansal Servisler, İleri Teknoloji, Basın, Perakende

Motivasyonlar ve Hedefler:

·       Kişisel Kazanç

Cobalt Group, oldukça gelişmiş bir finansal aktör olarak kabul edilir. Grubun hedefleri, Doğu Avrupa ve Asya'daki bankalar ve ATM hizmetlerine güçlü bir şekilde odaklanan finans sektörüdür. Cobalt, ilk olarak 2016 yılında Rusya'daki bir bankaya yapılan saldırıda görüldü ve grup lideri İspanya'da tutuklanırken grubun hala aktif olduğu düşünülüyor. Grup, şirket bünyesinde geliştirilen araçlar da dahil olmak üzere çeşitli saldırı araçları kullanır. Dahası, grup taktiklerinin bir kısmı, hedeflerinin tedarik zincirine saldırmaktır.

Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler

Zararlı Yazılımlar	Sömürülen Zaafiyetler	Diğer Yazılımlar
Özel Araçlar More_eggs ATMSpitter ATMRipper CobInt Cyst Downloader SpicyOmelette   Birçok Tehdit Aktörü Tarafından Kullanılan Araçlar AmmyyRAT Microsoft Word Intruder Threadkit Builder   Halka Açık Ulaşılabilir Araçlar Cobalt Strike Mimikatz Metasploit AlexusMailer	CVE-2017-8759 CVE-2017-11882 CVE-2012-0158 CVE-2017-0199 CVE-2018-0802 CVE-2015-1641 CVE-2017-8570 CVE-2017-0262	PsExec SDelete SoftPerfect Network Scanner PowerShell CMSTP Regsvr32 odbcconf TeamViewer Ammyy Admin msxsl

 

Hedef Aldığı Ülkeler: Türkiye, Arjantin, Ermenistan, Avusturya, Azerbaycan, Belarus, Bulgaristan, Kanada, Çin, Çek Cumhuriyeti, Estonya, Gürcistan, İtalya, Kazakistan, Kuveyt, Kırgızistan, Malezya, Moldova, Hollanda, Polonya, Romanya, Rusya, İspanya, Tayvan, Tacikistan, Tayland, İngiltere, ABD, Ukrayna, Vietnam

Kampanyalar

Haziran – Ağustos 2016: Haziran ve Ağustos 2016 arasında, grup, ATM makinelerine erişmek ve bunlardan para çalmak için banka ağlarına karşı çeşitli saldırılar gerçekleştirdi.

2017 – Spear Phishing Kampanyaları: Cobalt Group, 2017 yılı boyunca çok sayıda spear phishing kampanyası yürüttü. Kampanyaların hedefleri çeşitli finans kuruluşları ve bunların tedarik zincirleriydi. Kampanyalar bir tür sosyal mühendisliği ve çoğunlukla Microsoft Word için bilinen farklı istismarları birleştirdi. Bununla birlikte, bazı durumlarda açıklardan yararlanma yerine kötü amaçlı makro kullanılmıştır. Başarılı bir enfeksiyon, Cobalt Strike, AmmyyRAT, Metasploit ve daha fazlası gibi farklı araçların ve kötü amaçlı yazılımların yüklenmesi ve çalıştırılmasıyla sona ermiştir.

2018 – Spear Phishing Kampanyalarının Devamı: Grup liderinin Mart 2018'de tutuklanmasına rağmen, grubun saldırıları 2018 yılı boyunca devam etti. Saldırılarda çoğunlukla aynı TTP'ler kullanıldı. Cobalt group kendi geliştirdiği özel araçları ve ayrıca araçları yaymak için ThreadKit kitini kullandı. Grup hedefleriyle ilgili olarak, çoğunlukla Doğu Avrupa'da finans sektörüne odaklanmaya devam etti.

Taktik ve Teknikler (MITRE ATT&CK Framework

Initial Access

T1566.002 – Phishing: Spearphishing Link

T1566.001 – Phishing: Spearphishing Attachment

Execution

T1053.005 – Scheduled Task/Job: Scheduled Task

T1059 - Command and Scripting Interpreter

T1059 - Scripting

T1059.001 - Command and Scripting Interpreter: PowerShell

T1117 - Regsvr32

T1559.002 - Inter-Process Communication: Dynamic Data Exchange

T1191 - CMSTP

T1203 - Exploitation for Client Execution

T1204 - User Execution

T1218 - Signed Binary Proxy Execution

T1220 - XSL Script Processing

Persistence

T1543.003 - Create or Modify System Process: Windows Service

T1053.005 – Scheduled Task/Job: Scheduled Task

T1037 - Boot or Logon Initialization Scripts

T1060 - Registry Run Keys / Startup Folder

Privilege Escalation

T1543.003 - Create or Modify System Process: Windows Service

T1053.005 – Scheduled Task/Job: Scheduled Task

T1055 - Process Injection

T1068 - Exploitation for Privilege Escalation

T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control

Defense Evasion

T1027 - Obfuscated Files or Information

T1055 - Process Injection

T1059 - Scripting

T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control

T1070.004 - Indicator Removal on Host: File Deletion

T1117 - Regsvr32

T1191 - CMSTP

T1218 - Signed Binary Proxy Execution

T1220 - XSL Script Processing

Discovery

T1046 - Network Service Scanning

T1518.001 – Software Discovery: Security Software Discovery

Lateral Movement

T1037 - Boot or Logon Initialization Scripts

T1021.001 – Remote Services: Remote Desktop Protocol

T1544 - Remote File Copy

Command and Control

T1032 - Standard Cryptographic Protocol

T1071 - Application Layer Protocol

T1544 - Remote File Copy

T1219 - Remote Access Tools