Cobalt Strike のクラック版を潰せ:Microsoft と Fortra が取り締まりを発表

Microsoft and Fortra crack down on malicious Cobalt Strike servers

2023/04/06 BleepingComputer — Microsoft/Fortra/Health-ISAC (Health Information Sharing and Analysis Center) の三者は、サイバー犯罪者が使用する主要ハッキングツールである、Cobalt Strike のクラック・コピーをホストするサーバに対する、広範な法的取り締まりを発表した。Microsoft の Digital Crimes Unit (DCU) の Amy Hogan-Burney は、「世界中でホストされている Cobalt Strike のクラックされたレガシー・コピーを取り締まるには、粘り強く取り組む必要がある。Fortra のセキュリティ・ツールの、正当な利用を保護するための重要な行動である。Microsoft も同様に、自社の製品/サービスの正当な利用を守るために尽力している」と述べている。

2023年3月31日 (金) に、ニューヨーク東部地区の連邦地方裁判所は、この三者連合に対して裁判所命令を発行し、Cobalt Strike のクラック版をホストするサーバのドメイン名を押収し、IP アドレスを削除することを認めた。

この措置は、関連する CERTs (Computer Emergency Readiness Teams) や ISP (Internet Service Providers) の協力を得て行われ、悪意のインフラをオフラインにすることを最終目標としている。

この措置に関連して、すでに 4月4日 (火) からテクダウンは開始されているが、今回の裁判所命令により、Microsoft と Fortra は、脅威アクターが将来の攻撃で使用すると思われる、新たなインフラの破壊も可能になった。

Amy Hogan-Burney は、「クラックされた Cobalt Strike のレガシー・コピーを破壊することは、これらの違法コピーの収益化を著しく妨げ、サイバー攻撃での使用を遅らせ、犯罪者に戦術の変更を強いる。今日の措置には、Microsoft と Fortra のソフトウェアコードが改変され、害を及ぼすために悪用されていることへの、著作権侵害請求も含まれている」と述べている。

Malicious Cobalt Strike takedown tweet

ランサムウェア・ギャングや国家支援ハッカーに利用されている

Fortra (旧:Help Systems) は、10年以上も前の 2012年に、組織のインフラをスキャンするレッドチームが、脆弱性を発見するための正規の商用ペンテスト・ツールとして、Cobalt Strike をリリースした。

この開発元は、慎重に顧客を選別し、合法的な使用のためのライセンスのみを提供している。しかし、脅威アクターたちがクラック・コピーを入手/配布したことで、データ窃取やランサムウェアなどのサイバー攻撃で、Cobalt Strike は最も広く使用されるツールの1つになってしまった。

脅威アクターたちは、侵入後のタスクにおいて、デバイスへの持続的なリモート・アクセスを提供するビーコンを展開した後に、Cobalt Strike を用いて、機密データの採取や、追加のペイロードをドロップしている。

Attack flow
Example attack flow (Microsoft)

Microsoft の検出により、中国/米国/ロシアを含む世界の各地で、Cobalt Strike をホストする悪意のインフラが判明したが、犯罪行為の背後にいる人物の身元はまだ不明である。また、ロシア/中国/ベトナム/イランなどの政府を後ろ盾とする、脅威アクターやハッキング・グループが、クラックされた Cobalt Strike バージョンを使用していることも確認されている。

Hogan-Burney は、「Cobalt Strike のクラックされたコピーに関連するランサムウェア・ファミリーや、そのコピーにより展開されたランサムウェアは、世界の 19 カ国以上の医療機関に影響を与えた、68 件以上のランサムウェア攻撃と関連している。これらの攻撃により、病院システムの復旧/修理に数百万ドルが費やされた。さらに、診断/画像/検査の遅延や、医療処置のキャンセル、化学療法治療の遅延などの、サービスの中断を余儀なくされてきた」と述べている。

なお、2022年11月に Google Cloud Threat Intelligence チームは、ネットワーク防衛者が Cobalt Strike コンポーネントを検出する際に有益な、YARA ルール 165件と、侵害指標 (IOC) をオープンソース化している。

Cobalt Strike を用いる手口が明らかになるにつれて、その他のポスト・エクスプロイト・ツールへの移行が進んでいるという話もありますが、依然として、活発に悪用されているようです。それを、潰しにいくという Microsoft/Fortra/Health-ISAC のチームを応援したいですね。よろしければ、Cobalt Strike で検索を、ご利用ください。

2022/11/21:Cobalt Strike の亜種は 34 種類
2022/11/09:Cobalt Strike ローダーの新種 Symatic
2022/08/18:Cobalt Strike を 154 分割して検出を回避

%d bloggers like this: