Cobalt Strike サーバに DDoS 攻撃:ロシアン・ランサムウェアを追撃するのは誰なのか?

Ransomware gang’s Cobalt Strike servers DDoSed with anti-Russia messages

2022/09/07 BleepingComputer — ランサムウェア・ギャングの元メンバーが運営する Cobalt Strike のサーバに、何者かが反ロシアのメッセージを流し込んで活動を妨害している。 最近のランサムウェアに関する動向だが、2022年5月に ContI は、内部インフラのシャットダウンを完了し、そのメンバーたちは Quantum/Hive/BlackCat といった他のランサムウェア・ギャングに分散していった。

その一方で、Conti の元メンバーたちは、同じ Cobalt Strike のインフラを使用して、他のランサムウェアの作戦の下で、新たな攻撃を続けている。

サーバを洪水状態に・・・

ランサムウェアの脅威アクターたちは、侵害したホスト (クライアント) 上の Cobalt Strike ビーコン・ペイロードを制御し、ネットワーク上を横移動するために TeamServers (C2) を使用するが、それを追跡する者が出てきた。

この追跡者たちが、C2 サーバを洪水状態にするとき、複数のコンピュータでユーザー名 “Stop Putin!” を使用し、Stop the war!/15000+ dead Russian soldiers!/Be a Russian patriot! などのメッセージで、コンピュータ名を置き換えていく。

ex-Conti Cobalt Strike TeamServer DDoSed with political messages
Anti-Russia notes disrupting ex-Conti Cobalt Strike servers
source: Vitali Kremez (AdvIntel)

サイバー・インテリジェンス企業 Advanced Intelligence (AdvIntel) の CEO であるVitali Kremez は、「当初、これらの攻撃を実行している者たちは、元 Conti メンバーが管理しているとされる、少なくとも4つの Cobalt Strike サーバを狙っていた」と BleepingComputer に述べている。

この研究者によると、毎秒約2通という高い割合で、メッセージがサーバに殺到しているという。この大量の Ping により、TeamServer の Java アプリケーションは過負荷に陥り、サービス拒否 (DoS) 状態が発生して活動が阻害される。

Java アプリケーションからの Cobalt Strike TeamServer の実行は、今年4月にリリースされたツールキット 4.6 以下のバージョンで可能だった。最近のリリースでは、このコンポーネントは実行可能なイメージ (TeamServerImage) から実行されるように変更された。

Kremez によると、以前に Conti ランサムウェアのメンバーが運営していたと思われる Cobalt Strike サーバを、このアクティビティの背後にいる人物は常にターゲットにし、新しいサーバが発見されるたびに洪水を再開しているそうだ。

サイバー犯罪者に対する逆転の発想

これらのメッセージの背後にいる者は不明であり、セキュリティ研究者/法執行機関/ロシアに恨みを持つサイバー犯罪者などが推測されるが、脅威アクターたちを忙しくさせているように見受けられる。

サービス妨害により、ランサムウェア集団の活動を妨害することは、以前にも起こっている。LockBit は最近の標的型攻撃で、デジタル・セキュリティ企業 Entrust のシステムを暗号化したと言われている。

それに対する報復攻撃 (?) により、LockBit は情報漏洩サイトを閉鎖し、そのインフラを再編成せざるを得ないほど、深刻なものだったという。その間、LockBit が公開したデータは。何一つ利用できなかったとされる。

HTTPS リクエストに、同社のデータを削除するメッセージが含まれていたことで、LockBit は DDoS を Entrust の仕業だと主張している。

しかし、この混乱は一時的なものであり、ランサムウェアの実行者は、分散型サービス妨害 (DDoS) 攻撃に直面したが、盗み出したデータを利用するための、より強力なインフラを準備して復活している。

文中にもあるように、Entrust と LockBit の対決は、DDoS による一時的なものに終わってしまいましたが、 このような C2 サーバを継続的に攻撃していくという戦術は、とても効果的なものになるのかもしれません。もし、Cobalt Strike を供給するサーバに対して、侵害済の PC に潜んでいる複数のダウンローダーが、ハードコードされた URL を介してアクセスするなら、そのセットをまるごと無力化できる可能性が出てきます。とても興味深い展開です。

%d bloggers like this: