https://security-tools.hatenablog.com/entry/Cobalt_Strike
【目次】
概要
【辞書】
◆Cobalt Strike (Wikipedia)
https://de.wikipedia.org/wiki/Cobalt_Strike
◆Cobalt Strike (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike
【ポータルサイト】
◆Cobalt Strike (CobaltStrike)
https://www.cobaltstrike.com/
【Yara Rules】
◆Cobalt Strike (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike
⇒ https://malpedia.caad.fkie.fraunhofer.de/yara/win.cobalt_strike
【最新情報】
◆Chinese hackers use new Cobalt Strike-like attack framework (BleepingComputer, 2022/08/02 16:01)
https://www.bleepingcomputer.com/news/security/chinese-hackers-use-new-cobalt-strike-like-attack-framework/
⇒ https://malware-log.hatenablog.com/entry/2022/08/02/000000
◆Sliver と Cobalt Strike に似た攻撃フレームワーク「Manjusaka」が中国で登場 (Talos(Cisco), 2022/08/15)
https://gblogs.cisco.com/jp/2022/08/talos-manjusaka-offensive-framework/
⇒ https://malware-log.hatenablog.com/entry/2022/08/15/000000_1
◆Winnti hackers split Cobalt Strike into 154 pieces to evade detecti (BleepingComputer, 2022/08/18 11:48)
[WinntiのハッカーはCobalt Strikeを154個に分割して検知を回避]
https://www.bleepingcomputer.com/news/security/winnti-hackers-split-cobalt-strike-into-154-pieces-to-evade-detection/
⇒ https://malware-log.hatenablog.com/entry/2022/08/18/000000_1
◆Hackers adopt Sliver toolkit as a Cobalt Strike alternative (BleepingComputer, 2022/08/25 08:28)
[ハッカーがCobalt Strikeの代替となるSliverツールキットを採用]
https://www.bleepingcomputer.com/news/security/hackers-adopt-sliver-toolkit-as-a-cobalt-strike-alternative/
⇒ https://malware-log.hatenablog.com/entry/2022/08/25/000000_1
記事
【ニュース】
■2017年
◆「Microsoft Office」の脆弱性を悪用、PCを乗っ取る攻撃--研究者報告 (ZDNet, 2017/11/29 12:12)
https://japan.zdnet.com/article/35111100/
⇒ https://malware-log.hatenablog.com/entry/2017/11/29/000000_2
◆Office数式エディタのRCE脆弱性を悪用したマルウェアが登場、IPAが注意喚起 (Internet Watch, 2017/11/30 13:47)
Fortinetがマルウェア「Cobalt」を報告
https://internet.watch.impress.co.jp/docs/news/1094268.html
⇒ https://malware-log.hatenablog.com/entry/2017/11/30/000000_1
◆数式エディター 3.0 を無効にする方法 (Microsoft, 2017/11/30)
https://support.microsoft.com/ja-jp/help/4055535/how-to-disable-equation-editor-3-0
⇒ https://malware-log.hatenablog.com/entry/2017/11/30/000000_1
◆Office数式エディタの脆弱性を突く攻撃が日本に集中、偽「Windows Movie Maker」の検出も世界で増加 (Internet Watch, 2017/12/21 15:01)
https://internet.watch.impress.co.jp/docs/news/1098201.html
⇒ https://malware-log.hatenablog.com/entry/2017/12/21/000000_4
■2018年
◆Cobalt に似た複数の攻撃 (CISCO, 2018/08/20 14:32)
https://gblogs.cisco.com/jp/2018/08/talos-multiple-cobalt-personality-disorder/
⇒ https://malware-log.hatenablog.com/entry/2018/08/20/000000_1
■2019年
◆文字列「cojp」の後にgTLD「.com」を付けた金融機関系フィッシングサイトなど多数確認、JPCERT/CC インデント報告対応レポート (Internet Watch, 2019/04/12 17:54)
https://internet.watch.impress.co.jp/docs/news/1179880.html
⇒ https://malware-log.hatenablog.com/entry/2019/04/12/000000_7
◆代表アドレスへ履歴書送付、APTグループ「OceanLotus」が日系自動車企業東南アジア拠点攻撃の可能性(マクニカネットワークス) (NetSecurity, 2019/04/26 08:00)
マクニカネットワークスは、ホワイトペーパー「OceanLotus 東南アジア自動車業界への攻撃」を公開した
https://scan.netsecurity.ne.jp/article/2019/04/26/42274.html
⇒ https://malware-log.hatenablog.com/entry/2019/04/26/000000_11
■2020年
◆国家関与のサイバー攻撃、新型コロナ問題に便乗 - 中国のグループも (Security NEXT, 2020/03/18)
http://www.security-next.com/113281
⇒ https://malware-log.hatenablog.com/entry/2020/03/18/000000_3
◆軍事関連文書を装った Office ドキュメントで標的を誘い込み Cobalt Strike を仕掛ける IndigoDrop が拡散中 (Talos(CISCO), 2020/07/03)
https://gblogs.cisco.com/jp/2020/07/talos-indigodrop-maldocs-cobalt-strike/
⇒ https://malware-log.hatenablog.com/entry/2020/07/03/000000_5
◆CISA: Chinese state hackers are exploiting F5, Citrix, Pulse Secure, and Exchange bugs (ZDNet, 2020/09/14 14:45)
[CISA: 中国国家のハッカーがF5、Citrix、Pulse Secure、Exchangeのバグを悪用している]CISA says attacks have started a year ago and some have been successful.
[CISAによると、1年前から攻撃が始まっており、成功しているものもあるという。]https://www.zdnet.com/article/cisa-chinese-state-hackers-are-exploiting-f5-citrix-pulse-secure-and-exchange-bugs/
⇒ https://malware-log.hatenablog.com/entry/2020/09/14/000000_4
◆MS、脆弱性「Zerologon」について再度注意喚起 - まずはパッチ適用を、対処FAQも更新 (Security NEXT, 2020/10/30)
https://www.security-next.com/120159
⇒ https://malware-log.hatenablog.com/entry/2020/10/30/000000_2
◆How Ryuk Ransomware operators made $34 million from one victim (BleepingComputer, 2020/11/07 03:44)
[Ryukランサムウェアの運営者が1人の被害者から3400万ドルを稼いだ方法]
https://www.bleepingcomputer.com/news/security/how-ryuk-ransomware-operators-made-34-million-from-one-victim/
■2021年
◆CompuCom MSP expects over $20M in losses after ransomware attack (BleepingComputer, 2021/03/28 10:41)
[CompuCom社のMSPはランサムウェアの攻撃を受け、2,000万ドル以上の損失を予想しています]Ransomware: DarkSide
https://www.bleepingcomputer.com/news/security/compucom-msp-expects-over-20m-in-losses-after-ransomware-attack/
⇒ https://malware-log.hatenablog.com/entry/2021/03/28/000000_5
◆Ryuk ransomware operation updates hacking techniques (BleepingComputer, 2021/04/17 10:15)
[ランサムウェア「Ryuk」、ハッキング技術をアップデート]
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-operation-updates-hacking-techniques/
⇒ https://malware-log.hatenablog.com/entry/2021/04/17/000000
◆Lemon Duck Cryptojacking Botnet Changes Up Tactics (Threat Post, 2021/05/10 13:37)
[暗号攻撃型ボットネット「Lemon Duck」が戦術を変更]
https://threatpost.com/lemon-duck-cryptojacking-botnet-tactics/165986/
⇒ https://malware-log.hatenablog.com/entry/2021/05/10/000000_1
◆Cobalt Strike Becomes a Preferred Hacking Tool by Cybercrime, APT Groups (DarkReading, 2021/05/19 17:35)
https://www.darkreading.com/attacks-breaches/cobalt-strike-becomes-a-preferred-hacking-tool-by-cybercrime-apt-groups/d/d-id/1341073
⇒ https://malware-log.hatenablog.com/entry/2021/05/19/000000_5
◆MS、悪意ある「Office」ドキュメント用いたマルウェア攻撃の現状を解説 (ZDNet, 2021/09/17 10:32)
https://japan.zdnet.com/article/35176831/
⇒ https://malware-log.hatenablog.com/entry/2021/09/17/000000_2
◆Recycled Cobalt Strike key pairs show many crooks are using same cloned installation (The Register, 2021/10/22 16:32)
[リサイクルされたCobalt Strike鍵ペアは、多くの犯罪者が同じクローンインストールを使用していることを示している]
https://www.theregister.com/2021/10/22/cobalt_strike_virustotal_key_discovery/
⇒ https://malware-log.hatenablog.com/entry/2021/10/22/000000_20
◆Spammers use Squirrelwaffle malware to drop Cobalt Strike (BleepingComputer, 2021/10/26)
[スパマーがSquirrelwaffleマルウェアを使用してCobalt Strikeを落とす]
https://www.bleepingcomputer.com/news/security/spammers-use-squirrelwaffle-malware-to-drop-cobalt-strike/
⇒ https://malware-log.hatenablog.com/entry/2021/10/26/000000_2
◆Emotet now drops Cobalt Strike, fast forwards ransomware attacks (BleepingComputer, 2021/12/07 18:21)
[EmotetがCobalt Strikeをドロップし、ランサムウェア攻撃を高速化]
https://www.bleepingcomputer.com/news/security/emotet-now-drops-cobalt-strike-fast-forwards-ransomware-attacks/
⇒ https://malware-log.hatenablog.com/entry/2021/12/07/000000_1
◆Hackers start pushing malware in worldwide Log4Shell attacks (BleepingComputer, 2021/12/12 18:07)
[世界的なLog4Shell攻撃でハッカーがマルウェアの投入を開始]
https://www.bleepingcomputer.com/news/security/hackers-start-pushing-malware-in-worldwide-log4shell-attacks/
⇒ https://malware-log.hatenablog.com/entry/2021/12/12/000000
◆New ransomware now being deployed in Log4Shell attacks (BleepingComputer, 2021/12/14 17:02)
[新しいランサムウェアがLog4Shell攻撃で展開されるようになった]
https://www.bleepingcomputer.com/news/security/new-ransomware-now-being-deployed-in-log4shell-attacks/
⇒ https://malware-log.hatenablog.com/entry/2021/12/14/000000_4
◆Emotet starts dropping Cobalt Strike again for faster attacks (BleepingComputer, 2021/12/15 16:59)
[EmotetはCobalt Strikeを再び投下し、より速い攻撃を行うようになる]
https://www.bleepingcomputer.com/news/security/emotet-starts-dropping-cobalt-strike-again-for-faster-attacks/
⇒ https://malware-log.hatenablog.com/entry/2021/12/15/000000_12
■2022年
◆ベラルーシの攻撃グループ、ウクライナ政府機関狙うフィッシング展開か (マイナビニュース, 2022/03/29 21:44)
https://news.mynavi.jp/techplus/article/20220329-2306771/
⇒ https://malware-log.hatenablog.com/entry/2022/03/29/000000_1
◆Chinese hackers use new Cobalt Strike-like attack framework (BleepingComputer, 2022/08/02 16:01)
https://www.bleepingcomputer.com/news/security/chinese-hackers-use-new-cobalt-strike-like-attack-framework/
⇒ https://malware-log.hatenablog.com/entry/2022/08/02/000000
◆Winnti hackers split Cobalt Strike into 154 pieces to evade detecti (BleepingComputer, 2022/08/18 11:48)
[WinntiのハッカーはCobalt Strikeを154個に分割して検知を回避]
https://www.bleepingcomputer.com/news/security/winnti-hackers-split-cobalt-strike-into-154-pieces-to-evade-detection/
⇒ https://malware-log.hatenablog.com/entry/2022/08/18/000000_1
◆Hackers adopt Sliver toolkit as a Cobalt Strike alternative (BleepingComputer, 2022/08/25 08:28)
[ハッカーがCobalt Strikeの代替となるSliverツールキットを採用]
https://www.bleepingcomputer.com/news/security/hackers-adopt-sliver-toolkit-as-a-cobalt-strike-alternative/
⇒ https://malware-log.hatenablog.com/entry/2022/08/25/000000_1
【ブログ】
■2017年
◆OPERATION COBALT KITTY: A LARGE-SCALE APT IN ASIA CARRIED OUT BY THE OCEANLOTUS GROUP (CyberReason, 2017/05/24)
https://www.cybereason.com/blog/operation-cobalt-kitty-apt
⇒ https://malware-log.hatenablog.com/entry/2017/05/24/000000_8
◆Cobalt Malware Strikes Using CVE-2017-11882 RTF Vulnerability (Fortinat, 2017/11/27)
https://www.fortinet.com/blog/threat-research/cobalt-malware-strikes-using-cve-2017-11882-rtf-vulnerability.html
⇒ https://malware-log.hatenablog.com/entry/2017/11/27/000000_2
■2018年
◆Bypassing Memory Scanners with Cobalt Strike and Gargoyle (MWR LABS, 2018/07/18)
https://labs.mwrinfosecurity.com/blog/experimenting-bypassing-memory-scanners-with-cobalt-strike-and-gargoyle/
⇒ https://malware-log.hatenablog.com/entry/2018/07/18/000000_6
■2019年
◆NEW GLOBAL CYBER ATTACK ON POINT OF SALE SYSTEMS (CyberSecurity Blog(Morphisec), 2019/02/27)
http://blog.morphisec.com/new-global-attack-on-point-of-sale-systems
⇒ https://malware-log.hatenablog.com/entry/2019/02/27/000000_8
■2020年
◆IndigoDrop spreads via military-themed lures to deliver Cobalt Strike (Talos(CISCO), 2020/06/22)
https://blog.talosintelligence.com/2020/06/indigodrop-maldocs-cobalt-strike.html
⇒ https://malware-log.hatenablog.com/entry/2020/06/22/000000_4
◆軍事関連文書を装った Office ドキュメントで標的を誘い込み Cobalt Strike を仕掛ける IndigoDrop が拡散中 (Talos(CISCO), 2020/07/03)
https://gblogs.cisco.com/jp/2020/07/talos-indigodrop-maldocs-cobalt-strike/
⇒ https://malware-log.hatenablog.com/entry/2020/07/03/000000_5
■2021年
◆DarkSide Ransomware Operations – Preventions and Detections. (Blue Team Blog, 2021/05/14)
[ダークサイド・ランサムウェアの運用 - 予防と検知]
https://blueteamblog.com/darkside-ransomware-operations-preventions-and-detections
⇒ https://malware-log.hatenablog.com/entry/2021/05/14/000000_19
◆Microsoft社のデジタル署名を悪用した「Cobalt Strike loader」による標的型攻撃〜攻撃者グループAPT41 (Lac, 2021/05/21)
https://www.lac.co.jp/lacwatch/report/20210521_002618.html
⇒ https://malware-log.hatenablog.com/entry/2021/05/21/000000_8
◆ランサムウェア攻撃で悪用された正規ツールを解説 (Trendmicro, 2021/09/08)
https://blog.trendmicro.co.jp/archives/28681
⇒ https://malware-log.hatenablog.com/entry/2021/09/08/000000_12
■2022年
◆Sliver と Cobalt Strike に似た攻撃フレームワーク「Manjusaka」が中国で登場 (Talos(Cisco), 2022/08/15)
https://gblogs.cisco.com/jp/2022/08/talos-manjusaka-offensive-framework/
⇒ https://malware-log.hatenablog.com/entry/2022/08/15/000000_1
【公開情報】
■2018年
◆APT攻撃者グループ menuPass(APT10) による新たな攻撃を確認 (LAC, 2018/05/21)
https://www.lac.co.jp/lacwatch/people/20180521_001638.html
⇒ https://malware-log.hatenablog.com/entry/2018/05/21/000000_4
◆Cobalt Strike Beaconを検知するVolatility Plugin(2018-07-31) (JPCERT/CC, 2018/07/31)
https://www.jpcert.or.jp/magazine/acreport-cobaltstrike.html
⇒ https://malware-log.hatenablog.com/entry/2018/07/31/000000_7
■2020年
◆建築業界を狙ったサイバー攻撃オペレーション「kiya」について (NTTSecurity, 2020/02/21)
https://insight-jp.nttsecurity.com/post/102fz2k/kiya
⇒ https://malware-log.hatenablog.com/entry/2020/02/21/000000_11
◆國內重要企業遭勒索軟體攻擊事件調查說明 (台湾政府, 2020/05/15 13:45)
重要な国内企業に対するランサムウェア攻撃の調査の説明
https://www.mjib.gov.tw/news/Details/1/607
⇒ https://malware-log.hatenablog.com/entry/2020/05/15/000000_10
【ソフトウェア】
■2018年
◆aa-tools (JPCERT/CC, 2018/07/31)
https://github.com/JPCERTCC/aa-tools/blob/master/cobaltstrikescan.py
⇒ https://malware-log.hatenablog.com/entry/2018/07/31/000000_12
【検索】
google: Cobalt Strike
google:news: Cobalt Strike
google: site:virustotal.com Cobalt Strike
google: site:github.com Cobalt Strike
■Bing
https://www.bing.com/search?q=Cobalt%20Strike
https://www.bing.com/news/search?q=Cobalt%20Strike
https://twitter.com/search?q=%23Cobalt%20Strike
https://twitter.com/hashtag/Cobalt%20Strike
【関連情報】
◆Ransomware: Cring (まとめ)
https://malware-log.hatenablog.com/entry/Cring
関連情報
【関連まとめ記事】
◆攻撃フレームワーク (まとめ)
https://malware-log.hatenablog.com/entry/Malware_Framework
