Cobalt推出新版ThreadKit恶意软件

Cobalt推出新版ThreadKit恶意软件

专门破坏网络金融机构和银行的Cobalt威胁组织现在正在使用针对Microsoft Office文档的ThreadKit恶意软件/漏洞构建工具包的新变种。该威胁组织已更新了其恶意软件,其中包括一个基于宏的交付框架。

尽管今年早些时候警方高调逮捕了Cobalt组织的头目,但其残余威胁行为者仍活跃在各大恶意攻击活动中。在一项针对该组织的新分析报告中,Cobalt组织被发现以新版ThreadKit恶意软件更新了其武器库,该组织因过去几年对东欧银行的广泛攻击而闻名。

在网络安全公司Fidelis近期发布的一份报告中,研究人员概述了这一组织最新的发展情况,包括:

尽管今年早些时候一位关键成员被捕,但Cobalt组织仍然保持活跃;

ThreadKit恶意软件的新版本在2018年10月积极分发;

CobInt特洛伊木马使用基于XOR的混淆技术。

Cobalt组织重新浮出水面

Cobalt组织于2013年首次亮相,并在2016年因对欧洲各地银行和ATM机的广泛攻击而名声大噪。在一次攻击活动中,它从六台东欧的ATM机中窃取了超过32,000美元。接下来几年中,Cobalt组织将其重心扩展到针对包括金融部门在内的网络钓鱼计划,而其活动范围也不仅仅限于欧洲,新的活动地区包括北美和南美。

Cobalt推出新版ThreadKit恶意软件

该组织擅长网络钓鱼攻击

今年3月,欧洲刑警组织宣布在西班牙阿利坎特市逮捕了该组织的头目,对Cobalt组织造成了严重的打击。 从那时起,该组织在5月被安全公司Positive Technology观察到针对金融行业进行分叉式网络钓鱼攻击,其目的是诱使受害者下载一个JavaScript后门。

“2017年,他们将攻击目标从银行部门扩大到供应链公司、金融交易所、投资基金以及北美、西欧和南美的贷款机构。当时威胁行为者使用的工具包括PetrWrap、more_eggs、CobInt和ThreadKit,”在报告中与Fidelis威胁研究小组合作进行研究的Jason Reaves写道。

ThreadKit 2.0

在Cobalt组织的头目被捕后,该组织在5月被发现其行动策略发生了转变。Cobalt组织开始利用Microsoft Word(CVE-2017-8570,CVE-2017-11882和CVE-2018-0802)中的远程代码执行漏洞,以及一个现在得到修补的0-day漏洞(CVE-2017-0199)。

根据Fidelis的说法,“在2018年10月,我们确定ThreadKit恶意软件出现了一个新的版本。基于该组织以往的常规操作,这一恶意软件通常是通过网络钓鱼电子邮件分发的,其中包括一个RFT Microsoft Office附件,该附件又包含了2017年10月首次发现的漏洞构建器工具包的升级版本。此ThreadKit的新版本利用了一个由许多威胁行为者和团体出售、使用的宏观交付框架。”

Fidelis对ThreadKit的最新分析还指出了漏洞利用工具包中的“细微变化”,旨在更好地躲避监测。混淆技术包括将可执行文件的‘MZ’中的‘M’放置到其自己的对象中,并将其中的许多对象重命名。

Fidelis还指出了这一更新包括一个新的下载URL,其中恶意软件代码“对象”从中下载并随后组合在一起以创建可执行文件。Reaves写道:“嵌入式文件显示了对block.txt的检查,这与之前版本的kill-switch实现非常类似。”

CobInt采用新的混淆技巧  

ThreadKit的有效负载是特洛伊木马Coblnt,长期以来一直是Cobalt组织的最爱。为了阻止研究人员的深入分析和检测,攻击者为其添加了另一层混淆,即用于解码初始Coblnt有效载荷的XOR例程。这个XOR例程是一种基于一组已知原则的加密算法。加密和解密过程可以通过应用和重新应用XOR函数来执行。

Cobalt推出新版ThreadKit恶意软件

解码过程是一个简单的具有硬编码密钥的XOR循环

根据Fidelis的说法,解码后的有效载荷是CobIntDLL,当加载它时,它将“位于一个循环信标中,指向它的C2,等待命令和模块被执行”。

Fidelis和其他研究人员表示,逮捕Cobalt组织的关键成员只是暂时延缓了其威胁活动。在卡巴斯基实验室最近的一项分析中,研究人员表示,逮捕反而激起了该组织其余成员更大的报复欲,并加速了这个庞大的组织分裂成更多小团体的过程。

妥协指标(IOCs)

Cobalt推出新版ThreadKit恶意软件

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133571.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code