俄罗斯安全公司 Group-IB 近期发现，专门窃取银行和金融机构资金的 Cobalt 黑客组织仍然活跃，尽管其领导人于两个月前在西班牙被捕，但其成员仍在继续针对世界各地的金融组织及其他公司发起新的攻击活动。 这项新活动是从上周 23 日开始的，当时 Group-IB 安全专家发现了 Cobalt 的钓鱼电子邮件，用来针对俄罗斯和其他前苏联国家的银行。根据 Group-IB 分享的报告显示，这种钓鱼邮件被设计伪装成卡巴斯基实验室的安全警报， 诱使用户访问恶意网站，从而感染 CobInt 木马。 Group-IB 公司表示，尽管 Cobalt 的领导人被捕，但该组织仍然拥有不容忽视的黑客力量，因为其成员短期内似乎并没有计划停止对银行的攻击行动。 消息来源：Bleeping Computer，编译：榆榆，审核：吴烦恼; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，利用 Carbanak 和 Cobalt 木马攻击全球 100 多家金融机构的 Carbanak 犯罪团伙头目近期在西班牙阿利坎特市被警方逮捕，该行动由欧洲刑警组织、FBI、西班牙警方、以及罗马尼亚、白俄罗斯、中国台湾的网络安全公司、金融机构和执法机构联合开展。 自 2013 年来，Carbanak 犯罪团伙就开始利用他们设计的恶意软件（Carbanak 、 Cobalt ）开展攻击活动，至今已有 40 多个国家和地区的银行、电子支付系统和金融机构受到影响，导致金融行业累计损失超过 10 亿欧元。（犯罪团伙仅使用 Cobalt 每次就能窃取 1000 万欧元。） 在所有这些攻击活动中，Carbanak 犯罪团伙都使用了类似的操作手法：他们冒充合法公司向银行职员发送带有恶意附件的钓鱼邮件，进而远程控制职员受感染的设备、访问内部银行网络并感染控制 ATM 服务器。 以下为 Carbanak 犯罪团伙套钱的方式： – 自动取款机被远程指示在预先确定的时间发放现金，其中一名团伙成员在机器旁等待自动提款机吐钱; -电子支付网络用于将资金转移到犯罪账户中; -修改账户信息的数据库，使银行账户的余额增多； 然后 Carbanak 犯罪团伙借助加密货币洗钱，通过利用与加密货币钱包挂钩的预付卡购买豪车和房屋等。 欧洲刑警组织负责人史蒂文威尔逊表示， 这次联合行动不仅对国际刑警组织来说是巨大的胜利，也对以后打击网络犯罪的国际联合行动产生了重大影响。 欧洲刑警组织发布的安全公告： 《 MASTERMIND BEHIND EUR 1 BILLION CYBER BANK ROBBERY ARRESTED IN SPAIN》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 11 月 26 日消息，网络安全公司 Reversing Lab 研究人员最新发现黑客组织 Cobalt 正通过微软近期披露的 Office 漏洞（CVE-2017-11882）针对全球银行等金融机构展开网络钓鱼攻击。 该漏洞由 Embedi 研究人员率先在 Microsoft Office 组件的 EQNEDT32.EXE 模块（负责文件插入与公式编辑）中发现，是一处内存损害问题，允许攻击者利用当前登录的用户身份执行任意代码。该漏洞影响了过去 17 年来发布的所有 Microsoft Office 版本，其中包括新版 Microsoft Office 365。此外，它还可能触发所有版本的 Windows 操作系统。值得庆幸的是，CVE-2017-11882 的补丁已在本月例行安全更新中发布。 研究显示，黑客组织 Cobalt 主要在通过垃圾邮件肆意分发 RTF 恶意文档时感染目标用户系统。这一感染流程分为多个阶段： ○ 首先，用户打开 RTF 文档后系统将会自动利用 MS 方程触发 CVE-2017-11882 漏洞； ○ 随后，黑客将通过调用 Mshta.exe 文件获取并执行恶意脚本代码； ○ 最终，该脚本在运行时将会嵌入本地 playload，从而根据设备体系结构（32 位或 64 位）下载 DLL 恶意文件，以便感染目标系统。 需要留意的是，这并非 Cobalt 第一次利用微软漏洞展开攻击。知情人士透露，该黑客组织此前就曾利用微软 RCE 漏洞（ CVE-2017-8759 ）针对欧洲、美洲、俄罗斯等银行 ATM 设备以及金融机构开展攻击活动。虽然该漏洞目前已被修复，但并不能完全避免漏洞攻击的风险，因此研究人员提醒各企业管理人员在更新系统的同时，禁用 Eqnedt 模块是最保险的方法。 更多内容： ○  微软 Office 漏洞（CVE-2017-11882）概念验证（PoC）：https://github.com/embedi/CVE-2017-11882 ○  微软 Office 漏洞（CVE-2017-11882）补丁地址：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 ○  为保护系统，管理员应该需要应用最新补丁包括： KB2553204，KB3162047，KB4011276 和 KB4011262。 消息来源：securityaffairs.co，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据路透社报道，近日有黑客组织通过恶意软件远程操控受感染的 ATM 自动吐钞，所有攻击几乎是在同一时间进行。俄罗斯网络安全公司 Group IB 透露，包括英国、俄罗斯、荷兰，波兰、西班牙和马来西亚等至少 14 个国家受影响。目前 ATM 的制造商 NCR 和 Diebold Nixdorf （迪堡多富）公司已证实攻击，但拒绝透露受影响银行的名称。 “Cobalt” 黑客组织被认为是近期欧洲发生的一系列 ATM 吐钞事件罪魁祸首，或与 “Buhtrap” 黑客集团有关联。“Cobalt” 黑客组织曾在 2015 年 8月和今年 1月份对俄罗斯银行进行黑客攻击造成至少 2800 万美元损失。 NCR 和 Diebold Nixdorf 警告称，新一轮的攻击或在未来几周、几个月内到来，两家公司正努力防止更多银行受到影响。 稿源：本站翻译整理，封面：百度搜索