Cobalt Group
O Cobalt Group é um grupo bem conhecido de hackers que atuam no cenário do crime cibernético há um tempo. Eles não parecem estar agindo em nome de algum governo. Em vez disso, seus ataques parecem ser motivados financeiramente. A maioria de seus ataques é realizada na Europa Oriental, Central e Sudeste Asiático. O Grupo Cobalt gosta de jogar alto - a maioria de seus objetivos costuma ser instituições de alto nível, como bancos ou outras organizações que operam no setor financeiro. O grupo de hackers também é conhecido por ter como alvo caixas eletrônicos (Automated Teller Machines) e processadores de pagamento on-line. O Grupo Cobalt prefere realizar ataques furtivos, mesmo que isso signifique que levaria mais tempo para concluir uma operação. Eles costumavam se infiltrar em uma rede visada por um longo período, pois isso torna menos provável que as suas atividades inseguras sejam detectadas.
Índice
Opera em um Modo sem Arquivo
A ferramenta de hackers de marca registrada do Cobalt Group é o malware Cobalt Strike. O nome do grupo de hackers é derivado dessa ameaça. No entanto, devemos observar que a ameaça Cobalt Strike é vendida publicamente e não foi criada pelo Cobalt Group, mas é conhecida por ter lançado campanhas de hackers impressionantes usando essa ferramenta. O que torna o Cobalt Strike particularmente ameaçador é que ele pode operar muito silenciosamente plantando seus módulos na RAM (Random Access Memory) do host comprometido. Isso é conhecido como operar em um modo sem arquivo. Ao fazer isso, o Cobalt Strike também tem muito mais probabilidade de permanecer sob o radar dos aplicativos antivírus, que podem estar presentes no sistema infiltrado.
Recursos
O Cobalt Strike possui uma lista significativa de recursos. Essa ameaça pode:
- Permitir que os atacantes obtenham acesso remoto à máquina comprometida.
- Examinar a rede para detectar outros sistemas que podem estar vulneráveis.
- Coletar as teclas digitadas.
- Ignorar o UAC do Windows (Controle de Conta de Usuário).
- Plantar o Mimikatz infostealer.
O Cobalt Group também é conhecido por usar outras ferramentas, como o TeamViewer, o utilitário PsExec, o SoftPerfect Network Scanner, o Remote Desktop Protocol (RDP) do Windows e o Plink.
Métodos de Propagação
O método de propagação preferido do Cobalt Group são os emails de spear-phishing. Essa técnica permite adaptar mensagens específicas e usar truques de engenharia social para convencer o usuário de que o email é legítimo, e o potencial anexo que ele contém é tão inofensivo quanto possível. Além de usar anexos corrompidos para propagar suas ferramentas de hackers, o Cobalt Group é conhecido por pedir à vítima que baixe um arquivo contendo uma carga maliciosa, hospedada em uma plataforma de terceiros.
Como mencionamos, o Grupo Cobalt prefere levar as coisas devagar e garantir que elas se infiltrem em sistemas e redes, que são muito difíceis de alcançar. Geralmente, o ataque é realizado ao se infiltrar em um sistema dentro de uma rede e, em seguida, procurar maneiras de comprometer mais hosts. Especialistas em malware determinaram que uma campanha do Grupo Cobalt geralmente leva cerca de duas semanas desde o ponto de partida para atingir seu objetivo.
