Ransomware gang’s Cobalt Strike servers DDoSed with anti-Russia messages
2022/09/07 BleepingComputer — ランサムウェア・ギャングの元メンバーが運営する Cobalt Strike のサーバに、何者かが反ロシアのメッセージを流し込んで活動を妨害している。 最近のランサムウェアに関する動向だが、2022年5月に ContI は、内部インフラのシャットダウンを完了し、そのメンバーたちは Quantum/Hive/BlackCat といった他のランサムウェア・ギャングに分散していった。

その一方で、Conti の元メンバーたちは、同じ Cobalt Strike のインフラを使用して、他のランサムウェアの作戦の下で、新たな攻撃を続けている。
サーバを洪水状態に・・・
ランサムウェアの脅威アクターたちは、侵害したホスト (クライアント) 上の Cobalt Strike ビーコン・ペイロードを制御し、ネットワーク上を横移動するために TeamServers (C2) を使用するが、それを追跡する者が出てきた。
この追跡者たちが、C2 サーバを洪水状態にするとき、複数のコンピュータでユーザー名 “Stop Putin!” を使用し、Stop the war!/15000+ dead Russian soldiers!/Be a Russian patriot! などのメッセージで、コンピュータ名を置き換えていく。

source: Vitali Kremez (AdvIntel)
サイバー・インテリジェンス企業 Advanced Intelligence (AdvIntel) の CEO であるVitali Kremez は、「当初、これらの攻撃を実行している者たちは、元 Conti メンバーが管理しているとされる、少なくとも4つの Cobalt Strike サーバを狙っていた」と BleepingComputer に述べている。
この研究者によると、毎秒約2通という高い割合で、メッセージがサーバに殺到しているという。この大量の Ping により、TeamServer の Java アプリケーションは過負荷に陥り、サービス拒否 (DoS) 状態が発生して活動が阻害される。
Java アプリケーションからの Cobalt Strike TeamServer の実行は、今年4月にリリースされたツールキット 4.6 以下のバージョンで可能だった。最近のリリースでは、このコンポーネントは実行可能なイメージ (TeamServerImage) から実行されるように変更された。
Kremez によると、以前に Conti ランサムウェアのメンバーが運営していたと思われる Cobalt Strike サーバを、このアクティビティの背後にいる人物は常にターゲットにし、新しいサーバが発見されるたびに洪水を再開しているそうだ。
サイバー犯罪者に対する逆転の発想
これらのメッセージの背後にいる者は不明であり、セキュリティ研究者/法執行機関/ロシアに恨みを持つサイバー犯罪者などが推測されるが、脅威アクターたちを忙しくさせているように見受けられる。
サービス妨害により、ランサムウェア集団の活動を妨害することは、以前にも起こっている。LockBit は最近の標的型攻撃で、デジタル・セキュリティ企業 Entrust のシステムを暗号化したと言われている。
それに対する報復攻撃 (?) により、LockBit は情報漏洩サイトを閉鎖し、そのインフラを再編成せざるを得ないほど、深刻なものだったという。その間、LockBit が公開したデータは。何一つ利用できなかったとされる。
HTTPS リクエストに、同社のデータを削除するメッセージが含まれていたことで、LockBit は DDoS を Entrust の仕業だと主張している。
しかし、この混乱は一時的なものであり、ランサムウェアの実行者は、分散型サービス妨害 (DDoS) 攻撃に直面したが、盗み出したデータを利用するための、より強力なインフラを準備して復活している。
文中にもあるように、Entrust と LockBit の対決は、DDoS による一時的なものに終わってしまいましたが、 このような C2 サーバを継続的に攻撃していくという戦術は、とても効果的なものになるのかもしれません。もし、Cobalt Strike を供給するサーバに対して、侵害済の PC に潜んでいる複数のダウンローダーが、ハードコードされた URL を介してアクセスするなら、そのセットをまるごと無力化できる可能性が出てきます。とても興味深い展開です。

You must be logged in to post a comment.