Diğer Adlar:
· ATK67
· COBALT GANG
· COBALT SPIDER
· GOLD KINGSWOOD
· TAG-CR3
Hedef Aldıkları Sektörler: Finansal Servisler, İleri Teknoloji, Basın, Perakende
Motivasyonlar ve Hedefler:
· Kişisel Kazanç
Cobalt Group, oldukça gelişmiş bir finansal aktör olarak kabul edilir. Grubun hedefleri, Doğu Avrupa ve Asya'daki bankalar ve ATM hizmetlerine güçlü bir şekilde odaklanan finans sektörüdür. Cobalt, ilk olarak 2016 yılında Rusya'daki bir bankaya yapılan saldırıda görüldü ve grup lideri İspanya'da tutuklanırken grubun hala aktif olduğu düşünülüyor. Grup, şirket bünyesinde geliştirilen araçlar da dahil olmak üzere çeşitli saldırı araçları kullanır. Dahası, grup taktiklerinin bir kısmı, hedeflerinin tedarik zincirine saldırmaktır.
Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler
Zararlı Yazılımlar | Sömürülen Zaafiyetler | Diğer Yazılımlar |
Özel Araçlar More_eggs ATMSpitter ATMRipper CobInt Cyst Downloader SpicyOmelette
Birçok Tehdit Aktörü Tarafından Kullanılan Araçlar AmmyyRAT Microsoft Word Intruder Threadkit Builder
Halka Açık Ulaşılabilir Araçlar Cobalt Strike Mimikatz Metasploit AlexusMailer
| CVE-2017-8759 CVE-2017-11882 CVE-2012-0158 CVE-2017-0199 CVE-2018-0802 CVE-2015-1641 CVE-2017-8570 CVE-2017-0262 | PsExec SDelete SoftPerfect Network Scanner PowerShell CMSTP Regsvr32 odbcconf TeamViewer Ammyy Admin msxsl |
Hedef Aldığı Ülkeler: Türkiye, Arjantin, Ermenistan, Avusturya, Azerbaycan, Belarus, Bulgaristan, Kanada, Çin, Çek Cumhuriyeti, Estonya, Gürcistan, İtalya, Kazakistan, Kuveyt, Kırgızistan, Malezya, Moldova, Hollanda, Polonya, Romanya, Rusya, İspanya, Tayvan, Tacikistan, Tayland, İngiltere, ABD, Ukrayna, Vietnam
Kampanyalar
Haziran – Ağustos 2016: Haziran ve Ağustos 2016 arasında, grup, ATM makinelerine erişmek ve bunlardan para çalmak için banka ağlarına karşı çeşitli saldırılar gerçekleştirdi.
2017 – Spear Phishing Kampanyaları: Cobalt Group, 2017 yılı boyunca çok sayıda spear phishing kampanyası yürüttü. Kampanyaların hedefleri çeşitli finans kuruluşları ve bunların tedarik zincirleriydi. Kampanyalar bir tür sosyal mühendisliği ve çoğunlukla Microsoft Word için bilinen farklı istismarları birleştirdi. Bununla birlikte, bazı durumlarda açıklardan yararlanma yerine kötü amaçlı makro kullanılmıştır. Başarılı bir enfeksiyon, Cobalt Strike, AmmyyRAT, Metasploit ve daha fazlası gibi farklı araçların ve kötü amaçlı yazılımların yüklenmesi ve çalıştırılmasıyla sona ermiştir.
2018 – Spear Phishing Kampanyalarının Devamı: Grup liderinin Mart 2018'de tutuklanmasına rağmen, grubun saldırıları 2018 yılı boyunca devam etti. Saldırılarda çoğunlukla aynı TTP'ler kullanıldı. Cobalt group kendi geliştirdiği özel araçları ve ayrıca araçları yaymak için ThreadKit kitini kullandı. Grup hedefleriyle ilgili olarak, çoğunlukla Doğu Avrupa'da finans sektörüne odaklanmaya devam etti.
Taktik ve Teknikler (MITRE ATT&CK Framework
Initial Access
T1566.002 – Phishing: Spearphishing Link
T1566.001 – Phishing: Spearphishing Attachment
Execution
T1053.005 – Scheduled Task/Job: Scheduled Task
T1059 - Command and Scripting Interpreter
T1059 - Scripting
T1059.001 - Command and Scripting Interpreter: PowerShell
T1117 - Regsvr32
T1559.002 - Inter-Process Communication: Dynamic Data Exchange
T1191 - CMSTP
T1203 - Exploitation for Client Execution
T1204 - User Execution
T1218 - Signed Binary Proxy Execution
T1220 - XSL Script Processing
Persistence
T1543.003 - Create or Modify System Process: Windows Service
T1053.005 – Scheduled Task/Job: Scheduled Task
T1037 - Boot or Logon Initialization Scripts
T1060 - Registry Run Keys / Startup Folder
Privilege Escalation
T1543.003 - Create or Modify System Process: Windows Service
T1053.005 – Scheduled Task/Job: Scheduled Task
T1055 - Process Injection
T1068 - Exploitation for Privilege Escalation
T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control
Defense Evasion
T1027 - Obfuscated Files or Information
T1055 - Process Injection
T1059 - Scripting
T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control
T1070.004 - Indicator Removal on Host: File Deletion
T1117 - Regsvr32
T1191 - CMSTP
T1218 - Signed Binary Proxy Execution
T1220 - XSL Script Processing
Discovery
T1046 - Network Service Scanning
T1518.001 – Software Discovery: Security Software Discovery
Lateral Movement
T1037 - Boot or Logon Initialization Scripts
T1021.001 – Remote Services: Remote Desktop Protocol
T1544 - Remote File Copy
Command and Control
T1032 - Standard Cryptographic Protocol
T1071 - Application Layer Protocol
T1544 - Remote File Copy
T1219 - Remote Access Tools
0 Yorumlar