Cobalt Group
Die Cobalt Group ist eine bekannte Gruppe von Hackern, die seit einiger Zeit in der Cybercrime-Szene aktiv sind. Sie scheinen nicht im Auftrag einer Regierung zu handeln. Stattdessen scheinen ihre Angriffe finanziell motiviert zu sein. Die meisten ihrer Angriffe werden in Osteuropa, Mittel- und Südostasien durchgeführt. Die Cobalt Group spielt gern eine große Rolle - die meisten ihrer Ziele sind hochkarätige Institute wie Banken oder andere in der Finanzbranche tätige Organisationen. Es ist auch bekannt, dass die Hacking-Gruppe Geldautomaten und Online-Zahlungsabwickler als Zielgruppe hat. Die Kobaltgruppe führt lieber heimliche Angriffe durch, auch wenn sie dann länger brauchen würden, um eine Operation abzuschließen. Sie infiltrieren ein Zielnetzwerk häufig über einen längeren Zeitraum, da dies die Wahrscheinlichkeit verringert, dass ihre unsichere Aktivität entdeckt wird.
Inhaltsverzeichnis
Arbeitet in einem dateilosen Modus
Das Marken-Hacking-Tool der Cobalt Group ist die Cobalt Strike-Malware. Der Name der Hacking-Gruppe leitet sich von dieser Bedrohung ab. Wir sollten jedoch beachten, dass die Cobalt Strike-Bedrohung öffentlich verkauft wird und nicht von der Cobalt Group erstellt wurde. Sie ist jedoch dafür bekannt, beeindruckende Hacking-Kampagnen mit diesem Tool gestartet zu haben. Was den Cobalt Strike besonders bedrohlich macht, ist, dass er sehr leise arbeiten kann, indem er seine Module im RAM (Random Access Memory) des kompromittierten Hosts ablegt. Dies wird als fileless Modus bezeichnet. Auf diese Weise bleibt der Cobalt Strike auch viel wahrscheinlicher unter dem Radar von Antivirenanwendungen, die auf dem infiltrierten System vorhanden sein können.
Fähigkeiten
Der Cobalt Strike verfügt über eine umfangreiche Liste von Funktionen. Diese Bedrohung kann:
- Ermöglichen Sie den Angreifern den Remotezugriff auf den angegriffenen Computer.
- Scannen Sie das Netzwerk, um andere Systeme zu finden, die möglicherweise anfällig sind.
- Sammeln Sie Tastenanschläge.
- Umgehen Sie die Benutzerkontensteuerung von Windows.
- Stelle den Mimikatz- Infostealer auf.
Die Cobalt Group verwendet bekanntermaßen auch andere Tools wie TeamViewer, das Dienstprogramm PsExec, SoftPerfect Network Scanner, Windows Remote Desktop Protocol (RDP) und Plink.
Ausbreitungsmethoden
Die bevorzugte Verbreitungsmethode der Cobalt Group sind Spear-Phishing-E-Mails. Mit dieser Technik können sie bestimmte Nachrichten anpassen und mithilfe von Social-Engineering-Tricks den Benutzer davon überzeugen, dass die E-Mail legitim und der darin enthaltene potenzielle Anhang so harmlos wie möglich ist. Die Cobalt Group verwendet nicht nur beschädigte Anhänge, um ihre Hacking-Tools zu verbreiten, sondern fordert ihr Opfer auch zum Herunterladen einer Datei auf, die eine schädliche Nutzlast enthält und auf einer Plattform eines Drittanbieters gehostet wird.
Wie bereits erwähnt, geht die Cobalt-Gruppe lieber langsam vor und sorgt dafür, dass sie Systeme und Netzwerke infiltriert, die sehr schwer zu erreichen sind. Normalerweise wird der Angriff ausgeführt, indem ein System innerhalb eines Netzwerks infiltriert wird und anschließend nach Möglichkeiten gesucht wird, um weitere Hosts zu kompromittieren. Malware-Experten haben festgestellt, dass eine Kampagne der Cobalt Group normalerweise etwa zwei Wochen vom Start bis zum Erreichen ihres Ziels dauert.
