Grupa Hidden Cobra atakuje instytucje finansowe w Turcji

Badacze z zespołu McAfee Advanced Threat Research zaobserwowali serię ataków północnokoreańskiej grupy Hidden Cobra, która wzięła na celownik tureckie instytucje finansowe. W atakach wykorzystano złośliwe oprogramowanie Bankshot rozprowadzane z domeny falcancoin.io mającej sugerować powiązanie z platformą do udzielania pożyczek kryptowalutowych FalconCoin. Do pierwszych infekcji doszło na początku marca. Ataków dokonano za pośrednictwem wiadomości e-mail typu spear phishing z załączonym dokumentem programu Microsoft Word o nazwie Agreement.docx. Dokument zawierał wbudowanego exploita wykorzystującego niedawno ujawnioną lukę w Adobe Flashu (CVE-2018-4878). Jego otwarcie skutkowało pobraniem i uruchomieniem złośliwego oprogramowania Bankshot, podszywającego się pod bibliotekę DLL. Mimo znacznie szerszych możliwości, obejmujących zdalne wykonanie dowolnego kodu i usuwanie wybranych plików, przestępcy użyli Bankshota prawdopodobnie tylko do zebrania informacji, które według badaczy miały im posłużyć do dalszych ataków.

Ryzyko duże: Ataki z użyciem plików Microsoft Office cieszą się zainteresowaniem różnych grup przestępczych, należy więc oczekiwać upowszechnienia opisanego exploita. Kampania ma duże szanse powodzenia w przypadku ofiar, które korzystają z przestarzałych wersji Adobe Flasha.