Как утверждают ИБ-эксперты из компании RiskIQ, кибергруппировка Cobalt, действующая против финансовых учреждений, невольно раскрыла перечень всех целей атак фишинговой кампании, начатой 21 ноября.
Исследователи сообщают, что в ходе массовой рассылки электронных писем злоумышленники указали адреса свои целей не в поле BCC (blind carbon copy, в нем содержатся имена и адреса получателей письма, чьи данные нельзя показывать другим адресатам), а в строку To: (стандартное поле для ввода имени и адреса получателя).
В результате хакеры Cobalt сами же своими действиями раскрыли исследователям полный перечень целей кибератак группы, вследствие чего эксперты смогли сообщить потенциальным жертвам о киберкампании.
Специалисты подчеркнули, что кибергруппировка выбрала своими целями сотрудников финансовых учреждений из разных стран, но, прежде всего, из России и Турции.
В фишинговых письмах присутствовали лишь строка «Изменения условий пользования» и RTF-документ, якобы содержавший описание изменений в системе денежных переводов SWIFT. В действительности в этом RTF-файле находился эксплоит для уязвимости в программе Microsoft Equation.
Как считают эксперты, хакеры Cobalt могли специально внести перечень потенциальных целей в другое поле для того, чтобы отвлечь внимание специалистов. Пока ИБ-компании нашли этот ложный след, злоумышленники может запустить другую киберкампанию против целей, действительно представляющих интерес для них.
