恶名昭彰的金融骇客集团Cobalt攻势再起，这次锁定俄罗斯及罗马尼亚银行

专门销售网络安全暨网络监控软件的Arbor Networks周四（8/30）指出，恶名昭彰的金融骇客集团Cobalt在本月中旬展开新一波的攻击行动，初期锁定的对象为俄罗斯与罗马尼亚的银行。

至少从2016年底就展开攻击的Cobalt又被称为Carbanak或FIN7集团，该集团主要锁定全球的金融组织，经常使用ATM恶意程式发动攻击，研究人员也相信Cobalt亦是针对SWIFT银行系统进行一连串攻击的主谋，受害的金融组织估计已超过100家，包括台湾的第一银行在内。

Cobalt集团不仅攻击目标遍及全球，成员也散布在全球各地，欧洲刑警组织（Europol）在今年3月宣布已逮捕Cobalt的首领，美国司法部亦于今年8月表示已逮捕隶属于该集团的乌克兰骇客，然而，Arbor Networks的研究显示此一骇客集团并未因此而收手。

Arbor Networks是在今年8月中旬发现Cobalt集团再度发动攻势，针对俄罗斯的NS Bank与乌克兰Patria Bank两家银行寄出网钓邮件，在寄件人部分伪装成这两家银行的合作伙伴或供应商，这些邮件内容看起来是良性的，却在邮件中夹杂着两个恶意连结。

其中一个连结指向一个含有恶意程式的Word档案，另一个则是指向假冒为JPG档的恶意程式，这两个档案所执行的恶意程式连结两个不同、但都由Cobalt掌控的C&C服务器，它们都是后门程式，目的是建立一个入口，以供未来载入其它恶意程式所用。

研究人员表示，他们并不确定骇客为何要在同一封邮件中使用两个不同的感染途径，也许只是为了增加感染概率。

这并非是Cobalt集团惯常使用的攻击手法，研究人员向Threatpost透露，锁定ATM的攻击不但旷日废时，还得协调取钱任务，针对SWIFT系统的攻击速度较快，且每次攻击平均可带来超过150万美元的收入，在新一波的网钓攻击中，尚无法确定骇客下一步的作法，也有可能连骇客自己都不知道，只是先行建立入口。