Cobalt Strike のハッキング・バージョンは 34 種類:YARA ルールで排除を目指す Google

Google Identifies 34 Cracked Versions of Popular Cobalt Strike Hacking Toolkit in the Wild

2022/11/21 TheHackerNews — 先週に Google Cloud は、Cobalt Strike には 34 種類のハッキングされたバージョンが存在、野放し状態で悪用されていることを明らかにした。その中で、最も古いものは、2012年11月にリリースされたバージョンだという。GCTI (Google Cloud Threat Intelligence) チームの調査結果によると、Cobalt Strike は 1.44 から 4.7  までのバージョンがあり、合計で 275 種類のユニークな JAR ファイルが存在するようだ。そして、最新のバージョンは 4.7.2 だ。


Cobalt Strike は Fortra (旧 HelpSystems) により開発され、レッド・チームが攻撃シナリオのシミュレーション/サイバー防御の耐障害性のテストなどに使用される、一般的な仮想敵対フレームワークである。

このフレームワークを構成するのは、感染させたデバイスをリモート操作する C2 (Command-and-Control) チーム・サーバと、その C2 サーバとの通信のための全機能を備えたビーコンと呼ばれるペイロード、そして、ビーコンを配信するために設計されたステージャーである。

Cobalt Strike が提供する機能は広範囲におよぶため、不正な侵入に成功した脅威アクターたちの武器として、そのクラッキング・バージョンが利用されるケースが増加している。

Google の子会社 Chronicle の Reverse Engineer である Greg Sinclair は、「Cobalt Strike のコンセプトは、実際のサイバー脅威を模倣することだ。その能力に目をつけた脅威アクターたちが、第2段階の攻撃ペイロードの一部として、被害者のネットワーク内を横方向へ移動するための、強固なツールとして使用している」と述べている。

GCTI は、この悪用に対処するため、悪意のハッカー集団が使用するソフトウェアのあらゆる亜種に、フラグを付ける一連の YARA ルールを、オープンソースとして公開した。

Sinclair は、「この YARA ルールは、正規のバージョンには影響を及ぼさずに、ハッキングされたバージョンのみを排除するものだ。我々の意図は、このツールを正規のレッド・チームの領域に戻し、脅威アクターによる悪用を困難にすることだ」と付け加えている。

Cobalt Strike が優秀なレッド・チーム・ツールであるだけに、クラックされたバージョンの悪用が止まらないという、とても深刻なジレンマが生じています。それに対抗する、今回の Google による YARA ルールや、CISA の RedEye による C2 ログの可視化などにより、包囲網が形成されてきたようです。ただし、脅威アクター側も、Cobalt Strike に替わるものとして、Sliver TookitBrute Ratel を使い始めているという情報もあります。

%d bloggers like this: