Киберворы из Cobalt вооружились новым компоновщиком вредоносных документов

Back to Blog

Киберворы из Cobalt вооружились новым компоновщиком вредоносных документов

Киберворы из Cobalt вооружились новым компоновщиком вредоносных документов

Новая версия ThreadKit использовалась в ходе кампании 30 октября нынешнего года.

Специализирующаяся на киберограблениях банков хакерская группировка Cobalt вооружилась новым инструментом для создания вредоносных документов Microsoft Office с эксплоитами. В ходе кампании 30 октября текущего года исследователи компании Fidelis зафиксировали использование обновленной версии компоновщика вредоносных документов ThreadKit. ThreadKit впервые был замечен в октябре 2017 года. Инструмент также использовался в ходе вредоносных операций в июне нынешнего года и позволял создавать документы с общедоступными эксплоитами для уязвимости CVE-2017-0199. В мае исследователь безопасности Kafeine сообщал, что создатели ThreadKit выставили его на продажу по цене в $400.

По словам экспертов Fidelis, за год компоновщик заметно эволюционировал. Новая версия ThreadKit помещает в свой собственный объект ‘M’ в формате MZ (формат исполняемых файлов для DOS) и переименовывает другие объекты.

В ходе кампании 30 октября злоумышленники использовали ThreadKit для распространения CobInt – подписанного вредоносного ПО из арсенала группировки Cobalt, также известного как COOLPANTS. Исследователи обнаружили изменения в ThreadKit в ходе анализа документа, загруженного с сайта sepacloud[.]or, который злоумышленники выдают за сайт, имеющий отношение к Единой зоне платежей в евро.

Поделиться этим постом

Back to Blog