Хакерская группировка Cobalt, известная своими атаками на финансовые учреждения, могла случайно раскрыть полный список объектов атак фишинговой кампании, запущенной 21 ноября текущего года, полагают исследователи безопасности из компании RiskIQ.
По словам исследователей, во время массовой рассылки электронных писем хакеры вместо того, чтобы указать адреса жертв в поле BCC (blind carbon copy, поле, содержащее имена и адреса получателей письма, чьи адреса не следует показывать другим получателям), вставили их в поле To: (имя и адрес получателя).
Таким образом, Cobalt фактически предоставила исследователям полный список объектов атак группировки, что позволило предупредить потенциальных жертв о вредоносной кампании.
Как отметили исследователи, целями группировки стали сотрудники финансовых учреждений по всему миру, но в основном это были российские и турецкие компании.
Фишинговые письма состояли всего из одной строки «Изменения условий пользования» и содержали RTF-файл, в котором якобы были описаны изменения в системе денежных переводов SWIFT. На самом деле RTF-файл содержал эксплоит для уязвимости CVE-2017-11882 в программе Microsoft Equation. Об активной эксплуатации группировкой Cobalt данной уязвимости стало известно ранее на этой неделе.
По мнению экспертов, Cobalt могла преднамеренно включить список потенциальных жертв в неправильное поле получателя в качестве отвлекающего маневра. Пока компании, занимающиеся кибербезопасностью, идут по ложному следу, группировка может развернуть другую кампанию, направленную на людей и организации, представляющих реальный интерес для хакеров.

Источник: securitylab.ru