Cobalt Strike サーバに DDoS 攻撃：ロシアン・ランサムウェアを追撃するのは誰なのか？

Ransomware gang’s Cobalt Strike servers DDoSed with anti-Russia messages

2022/09/07 BleepingComputer — ランサムウェア・ギャングの元メンバーが運営する Cobalt Strike のサーバに、何者かが反ロシアのメッセージを流し込んで活動を妨害している。 最近のランサムウェアに関する動向だが、2022年5月に ContI は、内部インフラのシャットダウンを完了し、そのメンバーたちは Quantum／Hive／BlackCat といった他のランサムウェア・ギャングに分散していった。

その一方で、Conti の元メンバーたちは、同じ Cobalt Strike のインフラを使用して、他のランサムウェアの作戦の下で、新たな攻撃を続けている。

サーバを洪水状態に・・・

ランサムウェアの脅威アクターたちは、侵害したホスト (クライアント) 上の Cobalt Strike ビーコン・ペイロードを制御し、ネットワーク上を横移動するために TeamServers (C2) を使用するが、それを追跡する者が出てきた。

この追跡者たちが、C2 サーバを洪水状態にするとき、複数のコンピュータでユーザー名 “Stop Putin!” を使用し、Stop the war!／15000+ dead Russian soldiers!／Be a Russian patriot! などのメッセージで、コンピュータ名を置き換えていく。

サイバー・インテリジェンス企業 Advanced Intelligence (AdvIntel) の CEO であるVitali Kremez は、「当初、これらの攻撃を実行している者たちは、元 Conti メンバーが管理しているとされる、少なくとも４つの Cobalt Strike サーバを狙っていた」と BleepingComputer に述べている。

この研究者によると、毎秒約２通という高い割合で、メッセージがサーバに殺到しているという。この大量の Ping により、TeamServer の Java アプリケーションは過負荷に陥り、サービス拒否 (DoS) 状態が発生して活動が阻害される。

Java アプリケーションからの Cobalt Strike TeamServer の実行は、今年4月にリリースされたツールキット 4.6 以下のバージョンで可能だった。最近のリリースでは、このコンポーネントは実行可能なイメージ (TeamServerImage) から実行されるように変更された。

Kremez によると、以前に Conti ランサムウェアのメンバーが運営していたと思われる Cobalt Strike サーバを、このアクティビティの背後にいる人物は常にターゲットにし、新しいサーバが発見されるたびに洪水を再開しているそうだ。

サイバー犯罪者に対する逆転の発想

これらのメッセージの背後にいる者は不明であり、セキュリティ研究者／法執行機関／ロシアに恨みを持つサイバー犯罪者などが推測されるが、脅威アクターたちを忙しくさせているように見受けられる。

サービス妨害により、ランサムウェア集団の活動を妨害することは、以前にも起こっている。LockBit は最近の標的型攻撃で、デジタル・セキュリティ企業 Entrust のシステムを暗号化したと言われている。

それに対する報復攻撃 (?) により、LockBit は情報漏洩サイトを閉鎖し、そのインフラを再編成せざるを得ないほど、深刻なものだったという。その間、LockBit が公開したデータは。何一つ利用できなかったとされる。

HTTPS リクエストに、同社のデータを削除するメッセージが含まれていたことで、LockBit は DDoS を Entrust の仕業だと主張している。

しかし、この混乱は一時的なものであり、ランサムウェアの実行者は、分散型サービス妨害 (DDoS) 攻撃に直面したが、盗み出したデータを利用するための、より強力なインフラを準備して復活している。

文中にもあるように、Entrust と LockBit の対決は、DDoS による一時的なものに終わってしまいましたが、 このような C2 サーバを継続的に攻撃していくという戦術は、とても効果的なものになるのかもしれません。もし、Cobalt Strike を供給するサーバに対して、侵害済の PC に潜んでいる複数のダウンローダーが、ハードコードされた URL を介してアクセスするなら、そのセットをまるごと無力化できる可能性が出てきます。とても興味深い展開です。