Cobalt Group

Cobalt Group est un groupe de pirates informatiques bien connu qui opèrent sur la scène de la cybercriminalité depuis un certain temps. Ils ne semblent agir pour le compte d'aucun gouvernement. Au lieu de cela, leurs attaques semblent être motivées financièrement. La plupart de leurs attaques ont lieu en Europe orientale et en Asie centrale et du Sud-Est. La plupart des objectifs de Cobalt Group sont généralement des institutions de premier plan telles que des banques ou d'autres organisations opérant dans le secteur financier. Le groupe de piratage est également connu pour avoir ciblé les DAB (distributeur automatique de billets) et les processeurs de paiement en ligne. Cobalt Group préfère mener des attaques furtives, même si cela signifie qu'il leur faudrait plus de temps pour mener à bien une opération. Ils s'infiltrent souvent dans un réseau ciblé sur une longue période, ce qui rend moins probable la détection de leurs activités dangereuses.

Fonctionne en Mode sans Fichier

L'outil de piratage de marque de Cobalt Group est le programme malveillant Cobalt Strike. Le nom du groupe de piratage est dérivé de cette menace. Cependant, il convient de noter que la menace Cobalt Strike est vendue publiquement et elle n’a pas été créée par Cobalt Group, mais ils sont connus pour avoir lancé d’impressionnantes campagnes de piratage à l’aide de cet outil. Cobalt Strike est particulièrement menaçant par le fait qu’il peut fonctionner très silencieusement en insérant ses modules dans la mémoire RAM (Random Access Memory – Mémoire vive) de l’hôte compromis. Ceci est connu comme fonctionnant en mode sans fichier. Ce faisant, Cobalt Strike a également beaucoup plus de chances de rester sous le radar des applications anti-virus, susceptibles d'être présentes sur le système infiltré.

Capacités

Cobalt Strike a une liste importante de capacités. Cette menace peut:

• Laisser les attaquants accéder à distance à la machine compromise.
• Analyser le réseau afin de détecter d’autres systèmes potentiellement vulnérables.
• Recueillir des frappes.
• Contourner le contrôle de compte d'utilisateur (UAC) de Windows.
• Planter l'infostealer Mimikatz.

Cobalt Group utilise également d’autres outils tels que TeamViewer, l’utilitaire PsExec, SoftPerfect Network Scanner, RDP (Remote Desktop Protocol) de Windows et Plink.

Méthodes de Propagation

La méthode de propagation préférée de Cobalt Group est l’email de hameçonnage. Cette technique leur permet d’adapter des messages spécifiques et d’utiliser des astuces d’ingénierie sociale pour convaincre l’utilisateur que le courrier électronique est légitime et que l’attachement potentiel qu’il contient est aussi inoffensif qu’il vient. En plus d'utiliser des pièces jointes corrompues pour propager leurs outils de piratage, Cobalt Group est réputé pour demander à sa victime de télécharger un fichier contenant une charge malveillante, hébergé sur une plate-forme tierce.

Comme nous l’avons mentionné, Cobalt Group préfère agir lentement et s’assurer qu’ils infiltrent des systèmes et des réseaux très difficiles à atteindre. Habituellement, l'attaque consiste à infiltrer un système au sein d'un réseau, puis à rechercher des moyens de compromettre davantage d'hôtes. Les experts de logiciels malveillants ont déterminé qu’une campagne de Cobalt Group prend environ deux semaines entre le point de départ et l’atteinte de son objectif.