Cobalt Strike Abuse Dropped 80% in Two Years
2025/03/10 SecurityWeek — Cobalt Strike の開発元である Fortra によると、この敵対者シミュレーション・ツールの悪用が、直近の2年間で大幅に減少しているという。Cobalt Strike は、敵対者シミュレーション用に設計された正規のポスト・エクスプロイト・ツールだが、悪意の活動に活用できるクラック版のコピー (通常は旧バージョン) を作成する方法を、脅威アクターたちは見つけ出した。このツールは、利益を追求するサイバー犯罪者と、国家に支援される APT グループにより悪用されている。
2023年4月の時点で Fortra は、Cobalt Strike の悪用を防ぐために、Microsoft/Health-ISAC と提携し、法的/技術的な措置を講じることを発表した。それには、攻撃者のインフラの妨害と、ハッカーに対する訴訟も含まれていた。
また、2024年7月にユーロポールは、サイバー犯罪活動に関連する、約600台の Cobalt Strike サーバのシャットダウンを発表した。
Microsoft/Health-ISAC の提携発表から約2年が経過したが、Fortra の報告によると、出回っている Cobalt Strike の無許可コピーの数が、80% も減少したという。
このオペレーションにより、200件を超える悪意のドメインが押収され、シンクホール化され、脅威アクターたちによる悪意が阻止されるようになった。
さらに Fortra は、「最初の検出から削除までの平均的な滞留時間は、米国では1週間未満、世界では2 週間未満に短縮されました」と 述べている。
同社は、この取り組みを継続していると述べている。その内容としては、法執行機関への情報提供/ホスティング・プロバイダーへの削除通知の送信に加えて、無許可の Cobalt Strike コピーと違法使用に関する意識向上が含まれている。
Fortra は、「再発を防止するために、これらの悪意の活動の発生源まで積極的に追跡し、根本原因を特定している。それと同時に、これらの違法バージョンが Web プロパティから削除されるまで、通知を発行し続けている」と述べている。
同社は、「これらの取り組みは勢いを増しており、有効性が高まっていく新たな段階に入った。自動化プロセスが導入され、さらに効率性が高まり、削除プロセスが簡素化された。それに加えて、サイバー犯罪者が手法を適応させるように、Fortra は Cobalt Strike のセキュリティ・コントロールを継続的に更新し、クラッキングの試みを阻止し、正当なユーザーを保護している」と締め括っている。
正規の敵対者シミュレーション・ツールでありながら、そのクラック・バージョンが、数多くのサイバー攻撃で悪用され、ちょっと肩身が狭そうな Cobalt Strike ですが、Microsoft などの協力も得て、無許可コピーの数が 80% も減少したとのことです。Cobalt Strike に代わるものとしては、Sliver や Brute Ratel などがありますが、最近は名前を見ません。その一方で、LOLBin が増えているようにも思えます。それにしても、Fortra さん、良かったですね。
IoT OT Security News 
You must be logged in to post a comment.