网络安全公司Proofpoint于本周二（9月11日）发表的一篇博文中对一个名为“CobInt”的恶意软件及其相关联的攻击活动进行了分析，同时也揭露了Cobalt黑客组织想要利用该恶意软件攻击全球金融机构的意图。 [出自:jiwo.org]

从相关报道来看，Cobalt是一个至少在2016年就已经开始运营的黑客组织，主要攻击目标是金融机构。来自欧洲刑警组织的数据显示，该组织与全球至少100家银行的网络攻击活动有关，并从中窃取了超过10亿欧元。

根据Proofpoint公司的说法，CobInt恶意软件最初是由俄罗斯网络安全公司 Group-IB发现并命名的，在当时被Cobalt用于攻击了位于俄罗斯和罗马尼亚的多家银行，第一份分析报告发表于2018年5月29日。

在Group-IB的分析报告发布之后，Cobalt似乎在随后的一段时间里放弃了对CobInt的使用。但从Proofpoint和另一家网络安全公司Arbor Networks发布的最新调查结果来看，CobInt从7月份开始再次启用了该恶意软件，并向多家银行发起了攻击。

攻击活动分析

Proofpoint表示，其安全团队在2018年8月2日捕获了一封主题为“Подозрениенамошенничество”（俄文，大致可翻译为“涉嫌欺诈”）的恶意电子邮件，声称来自Interkassa（俄罗斯主流支付平台之一）。发件人的电子邮箱地址为“denis[@]inter-kassa[.]com”，与Interkassa的官方域名非常相似。

在电子邮件的正文中，包含有两个网址。第一个网址链接到一个内嵌了恶意宏的文档，最终会导致一个名为“More_eggs”的下载器（downloader）被安装。而第二个网址则直接链接到CobInt恶意软件的第一阶段可执行文件。更详尽的分析可以参考Arbor Networks在8月30日发布的分析报告。

在2018年8月14日，Proofpoint的安全团队再次捕获到了类似的恶意电子邮件，声称来自SEPA Europe，使用了与单一欧元支付区（SEPA）计划相关的域名（sepa-europa[.]com或sepa-europa[.]info）。这些电子邮件涉及多个主题，如“notification”、“letter”、“message”和“notice”。

图1展示了其中一个恶意电子邮件样本，而所有这些恶意电子邮件主要分为两大类：第一类带有恶意附件，第二类带有恶意链接。

• Microsoft Word附件（sepa rules.doc）——内嵌漏洞利用工具包ThreadKit，能够利用的漏洞包括CVE-2017-8570、CVE-2017-11882和CVE-2018-0802，用于执行内嵌的CobInt第一阶段有效载荷（payload）；
• 网址链接——直接链接到CobInt。

图1：8月14日捕获的恶意电子邮件样本

在2018年8月16日，Proofpoint的安全团队捕获到了声称来自俄罗斯阿尔法银行（Alfa Bank）的恶意电子邮件，域名显示为aifabank [.] com。这些电子邮件同样涉及多个主题，如“Fraud Control”、“Фрауд”（大致可翻译为“欺诈”）、“Предотвращение хищения”（大致可翻译为“预防盗窃”）、“Блокированиетранзакций”（大致可翻译为“交易异常”）。

图2展示了其中一个恶意电子邮件样本，它包含有一个链接到内嵌漏洞利用工具包ThreadKit文档的网址，将通过CVE-2017-8570、CVE-2017-11882和CVE-2018-0802漏洞来执行内嵌的CobInt第一阶段有效载荷。

图2：8月16日捕获的恶意电子邮件样本

在2018年9月4日，类似的恶意电子邮件声称来自奥地利Raiffeisen银行，发件人域名为“ralffeisen [.] com”，涉及的主题包括“Fraudulent transaction”、“Wire Transfer Fraud”和“Request for data”。

图3展示了其中一个恶意电子邮件样本，它包含了一个Microsoft Word附件。该附件将使一个关系对象下载一个外部VBscript文件，其中包含CVE-2018-8174漏洞利用程序，从而导致CobInt第一阶段有效载荷的执行。

图3：9月4日捕获的恶意电子邮件样本

恶意软件分析

CobInt是一个采用C语言编写的恶意软件，它的命名基于Cobalt组织使用的内部DLL文件 “int.dll”。该恶意软件可以被拆分为三部分（分三个阶段下载）：初始下载器、主组件和其他模块。

第一阶段：初始下载器

第一阶段涉及到一个初始下载器，目的是下载CobInt的主组件。与其他恶意软件下载器一样，其开发者通过使用Windows API函数散列算法对它的函数进行了散列化处理。

命令和控制（C＆C）服务器以及统一资源标识符（URI）以加密字符串的形式存储，所使用的加密算法是一个基本的XOR算法，其中的4字节密钥可以随样本而变化。对于Proofpoint捕获的样本而言，C＆C服务器和URI分别是“rietumu [.] me”和“xaczkajeieypiarll”。

第二阶段的CobInt主组件将通过HTTPS下载，图4和图5分别展示了HTTPS请求和HTTPS响应数据的示例。

图4：第一阶段HTTPS请求

图5：第一阶段HTTPS响应数据

响应数据使用三层加密：

• 基于字符的替换密码
• Base64编码
• XOR算法，使用与加密C＆C和URI字符串相同的XOR密钥

解密后的数据包含了一个DLL，它便是CobInt的主组件。

第二阶段：主组件

主组件将从另一个C&C下载并执行各种模块。C&C服务器地址存储在一个64字节的加密数据块中，可以通过XORing使用64字节的XOR密钥来进行解密。对于Proofpoint捕获的样本而言，第二阶段C&C服务器与第一阶段C&C服务器相同，即rietumu [.] me。

恶意软件仍使用HTTPS与C&C服务器通信，HTTPS请求和HTTPS响应数据分别见图6和图7。

图6：第二阶段HTTPS请求

图7：第二阶段HTTPS响应数据

Proofpoint安全团队表示，他们目前能够确认可以从C＆C服务器发送到恶意软件的命令有四个：

• 命令1：Load/execute module（加载/执行模块）
• 命令2：Stop polling C&C（停止轮询C&C）
• 命令3：Execute function set by module（执行模块设置的函数）
• 命令4：Update C&C polling wait time（更新C&C轮询等待时间）

第三阶段：模块

上面的命令1实现了CobInt的主要功能：下载并执行其他模块。

模块作为shellcode加载，并在指定的入口点开始执行，并使用一个4字节的XOR密钥对其自身进行解密，不同的模块对应的密钥也不同。在解密后，模块将变成DLL文件。

Proofpoint安全团队指出，由他们观察到的从C＆C服务器下载的两个模块，其功能是：

• 将截图发送到C＆C
• 将正在运行的进程名称列表发送到C＆C

显然，CobInt目前似乎只是被用于侦察目的。

结论

尽管欧洲刑警组织在今年3月份曾宣布，经过四年多的调查，Cobalt黑客组织的领导人已经在西班牙阿利坎特成功被捕，但无论是Group-IB、Proofpoint还是Arbor Networks的报告都表明，该组织并没有因此而解散并仍在保持活跃。

另一方面，从Proofpoint最近连续对Marap、AdvisorsBot和CobInt恶意软件的分析来看，许多专注于金融机构的黑客组织都已经开始倾向于利用某些恶意软件来开展初步的侦察活动，进而仅在感兴趣的系统上安装其他恶意软件。Proofpoint表示，采用这种战术，能够使攻击活动更具隐蔽性，并且提高感染的回报率。而这一趋势的发展，无疑会给防病毒软件厂商以及用户企业带来了更大的挑战。