TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

ツール: Cobalt Strike

Emotet starts dropping Cobalt Strike again for faster attacks

【図表】 出典: https://www.bleepingcomputer.com/news/security/emotet-starts-dropping-cobalt-strike-again-for-faster-attacks/ 【ニュース】 ◆Emotet starts dropping Cobalt Strike again for faster attacks (BleepingComputer, 2021/12/15 16:59) […

New ransomware now being deployed in Log4Shell attacks

【ニュース】 ◆New ransomware now being deployed in Log4Shell attacks (BleepingComputer, 2021/12/14 17:02) [新しいランサムウェアがLog4Shell攻撃で展開されるようになった] https://www.bleepingcomputer.com/news/security/new-ransomware-now-being…

Hackers start pushing malware in worldwide Log4Shell attacks

【図表】 Kinsing Log4Shell exploit and decoded commands Kinsing installer script Other malicious cryptominer installers Researchers and threat actors scanning for vulnerable servers 出典:https://www.bleepingcomputer.com/news/security/hacke…

Emotet now drops Cobalt Strike, fast forwards ransomware attacks

【ニュース】 ◆Emotet now drops Cobalt Strike, fast forwards ransomware attacks (BleepingComputer, 2021/12/07 18:21) [EmotetがCobalt Strikeをドロップし、ランサムウェア攻撃を高速化] https://www.bleepingcomputer.com/news/security/emotet-now-d…

Spammers use Squirrelwaffle malware to drop Cobalt Strike

【ニュース】 ◆Spammers use Squirrelwaffle malware to drop Cobalt Strike (BleepingComputer, 2021/10/26) [スパマーがSquirrelwaffleマルウェアを使用してCobalt Strikeを落とす] https://www.bleepingcomputer.com/news/security/spammers-use-squirrel…

Cobalt Strike (まとめ)

【目次】 概要 【辞書】 【ポータルサイト】 【Yara Rules】 記事 【ニュース】 【ブログ】 【公開情報】 【ソフトウェア】 【関連情報】 関連情報 【関連まとめ記事】 概要 【辞書】 ◆Cobalt Strike (Wikipedia) https://de.wikipedia.org/wiki/Cobalt_Stri…

Recycled Cobalt Strike key pairs show many crooks are using same cloned installation

【ニュース】 ◆Recycled Cobalt Strike key pairs show many crooks are using same cloned installation (The Register, 2021/10/22 16:32) [リサイクルされたCobalt Strike鍵ペアは、多くの犯罪者が同じクローンインストールを使用していることを示してい…

MS、悪意ある「Office」ドキュメント用いたマルウェア攻撃の現状を解説

【概要】■攻撃組織 名称 使用組織 DEV-0193 Microsoft UNC1878 Mandiant ■関連マルウェア マルウェア名称 備考 BazaLoader Trickbot 【ニュース】 ◆MS、悪意ある「Office」ドキュメント用いたマルウェア攻撃の現状を解説 (ZDNet, 2021/09/17 10:32) https://…

ランサムウェア攻撃で悪用された正規ツールを解説

【概要】 ツール名 用途 使用組織 Cobalt Strike ペネトレーションツール Clop、Conti、DoppelPaymer、Egregor、Hello(WickrMe)、Nefilim、NetWalker、ProLock、RansomExx、Ryuk PsExec リモートアクセスツール DoppelPaymer、Nefilim、NetWalker、Maze、P…

Ransomware: Cring (まとめ)

【目次】 概要 【別名】 【概要】 記事 【ニュース】 【公開情報】 【検索】 関連情報 【関連まとめ記事】 概要 【別名】 名称 備考 Cring Crypt3r Ghost Phantom Vjiszy1lo 【概要】 ■使用脆弱性 CVE番号 備考 CVE-2018-13379 FortiOSにおける VPNの脆弱性(…

Microsoft社のデジタル署名を悪用した「Cobalt Strike loader」による標的型攻撃〜攻撃者グループAPT41

【ブログ】 ◆Microsoft社のデジタル署名を悪用した「Cobalt Strike loader」による標的型攻撃〜攻撃者グループAPT41 (Lac, 2021/05/21) https://www.lac.co.jp/lacwatch/report/20210521_002618.html 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まと…

Cobalt Strike Becomes a Preferred Hacking Tool by Cybercrime, APT Groups

【ニュース】 ◆Cobalt Strike Becomes a Preferred Hacking Tool by Cybercrime, APT Groups (DarkReading, 2021/05/19 17:35) https://www.darkreading.com/attacks-breaches/cobalt-strike-becomes-a-preferred-hacking-tool-by-cybercrime-apt-groups/d/d…

DarkSide Ransomware Operations – Preventions and Detections.

【ニュース】 ◆DarkSide Ransomware Operations – Preventions and Detections. (Blue Team Blog, 2021/05/14) [ダークサイド・ランサムウェアの運用 - 予防と検知] https://blueteamblog.com/darkside-ransomware-operations-preventions-and-detections 【…

Lemon Duck Cryptojacking Botnet Changes Up Tactics

【概要】 マルウェアのツールキットにCobalt Strike攻撃フレームワークを追加 検知回避 中国(「.cn」)、日本(「.jp」)、韓国(「.kr」)のTLD内のWebサイトのみをC2活動に利用 Microsoft Exchangeサーバーを標的 モネロマイニング 少なくとも12種類の初…

Ryuk ransomware operation updates hacking techniques

【図表】 出典: https://www.bleepingcomputer.com/news/security/ryuk-ransomware-operation-updates-hacking-techniques/ 【概要】■使用脆弱性 CVE番号 備考 CVE-2018-8453 Windowsの特権昇格の脆弱性 CVE-2019-1069 Windowsの特権昇格の脆弱性 ■使用ツー…

CompuCom MSP expects over $20M in losses after ransomware attack

【図表】 出典: https://www.bleepingcomputer.com/news/security/compucom-msp-expects-over-20m-in-losses-after-ransomware-attack/ 【ニュース】 ◆CompuCom MSP expects over $20M in losses after ransomware attack (BleepingComputer, 2021/03/28 10:…

How Ryuk Ransomware operators made $34 million from one victim

【概要】 ツール名 備考 Mimikatz メモリから資格情報をダンプするための爆発後のツール PowerShell PowerSploit post-exploitationに使用される PowerShell スクリプト集 LaZagne Mimikatz に似ており、ローカルに保存されたソフトウェアからパスワードを収…

MS、脆弱性「Zerologon」について再度注意喚起 - まずはパッチ適用を、対処FAQも更新

【ニュース】 ◆MS、脆弱性「Zerologon」について再度注意喚起 - まずはパッチ適用を、対処FAQも更新 (Security NEXT, 2020/10/30) https://www.security-next.com/120159 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆Zerologon 攻撃 (まとめ) https:…

CISA: Chinese state hackers are exploiting F5, Citrix, Pulse Secure, and Exchange bugs

【図表】 出典: https://www.zdnet.com/article/cisa-chinese-state-hackers-are-exploiting-f5-citrix-pulse-secure-and-exchange-bugs/ 【ニュース】 ◆CISA: Chinese state hackers are exploiting F5, Citrix, Pulse Secure, and Exchange bugs (ZDNet, 2…

軍事関連文書を装った Office ドキュメントで標的を誘い込み Cobalt Strike を仕掛ける IndigoDrop が拡散中

【ニュース】 ◆軍事関連文書を装った Office ドキュメントで標的を誘い込み Cobalt Strike を仕掛ける IndigoDrop が拡散中 (Talos(CISCO), 2020/07/03) https://gblogs.cisco.com/jp/2020/07/talos-indigodrop-maldocs-cobalt-strike/ 【関連情報】 ◆Indigo…

IndigoDrop spreads via military-themed lures to deliver Cobalt Strike

【ニュース】 ◆IndigoDrop spreads via military-themed lures to deliver Cobalt Strike (Talos(CISCO), 2020/06/22) https://blog.talosintelligence.com/2020/06/indigodrop-maldocs-cobalt-strike.html 【関連情報】 ◆軍事関連文書を装った Office ドキ…

重要な国内企業に対するランサムウェア攻撃の調査の説明 (國內重要企業遭勒索軟體攻擊事件調查說明)

【概要】■攻撃組織 Winnti ■使用ツール Cobalt Strike ■期間 2020/05/04 ~ 2020/05/05 ■攻撃対象 台湾国内の多くの重要なエネルギーおよびテクノロジー企業 ■使用マルウェア Cobaltstrike ランサムウェア ■攻撃方法 数か月前に従業員のパーソナルコンピュー…

国家関与のサイバー攻撃、新型コロナ問題に便乗 - 中国のグループも

【ニュース】 ◆国家関与のサイバー攻撃、新型コロナ問題に便乗 - 中国のグループも (Security NEXT, 2020/03/18) http://www.security-next.com/113281 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まとめ) ◆標的型攻撃組織 / APT (まとめ) ◆HoneyMyt…

建築業界を狙ったサイバー攻撃オペレーション「kiya」について

【図表】 出典: https://insight-jp.nttsecurity.com/post/102fz2k/kiya 【公開情報】 ◆建築業界を狙ったサイバー攻撃オペレーション「kiya」について (NTTSecurity, 2020/02/21) https://insight-jp.nttsecurity.com/post/102fz2k/kiya 【関連まとめ記事】◆…

代表アドレスへ履歴書送付、APTグループ「OceanLotus」が日系自動車企業東南アジア拠点攻撃の可能性(マクニカネットワークス)

【要点】 ◎2018年秋頃から複数の自動車関連企業の東南アジア拠点でOceanLotusによる攻撃を観測 【概要】■攻撃手法 履歴書の送付を装った「代表アドレス」へのメールを多く観測 メールにはWordファイルが添付 Template Injectionの手法でマクロを自動的にダウ…

文字列「cojp」の後にgTLD「.com」を付けた金融機関系フィッシングサイトなど多数確認、JPCERT/CC インデント報告対応レポート

【要点】 ◆JPCERT/CCが、2019年1月1日~3月31日を対象にした「インシデント報告対応レポート」を公開 【図表】 出典: https://internet.watch.impress.co.jp/img/iw/docs/1179/880/html/01.jpg.html 【ニュース】 ◆文字列「cojp」の後にgTLD「.com」を付けた…

NEW GLOBAL CYBER ATTACK ON POINT OF SALE SYSTEMS

【ブログ】 ◆NEW GLOBAL CYBER ATTACK ON POINT OF SALE SYSTEMS (CyberSecurity Blog(Morphisec), 2019/02/27) http://blog.morphisec.com/new-global-attack-on-point-of-sale-systems 【インディケータ情報】 ◆Fin6 (IoC (TT Malware Log)) https://ioc.h…

Cobalt に似た複数の攻撃

【図表】 確認された電子メール キャンペーン 出典: https://gblogs.cisco.com/jp/2018/08/talos-multiple-cobalt-personality-disorder/ 【ニュース】 ◆Cobalt に似た複数の攻撃 (CISCO, 2018/08/20 14:32) https://gblogs.cisco.com/jp/2018/08/talos-mult…

aa-tools/cobaltstrikescan.py

【ツール】 ◆aa-tools/cobaltstrikescan.py (JPCERT/CC, 2018/07/31) https://github.com/JPCERTCC/aa-tools/blob/master/cobaltstrikescan.py 【関連まとめ記事】◆全体まとめ ◆ツール (まとめ) ◆マルウェア作成支援ツール (まとめ) ◆Cobalt Strike (まとめ)…

Cobalt Strike Beaconを検知するVolatility Plugin(2018-07-31)

【公開情報】 ◆Cobalt Strike Beaconを検知するVolatility Plugin(2018-07-31) (JPCERT/CC, 2018/07/31) https://www.jpcert.or.jp/magazine/acreport-cobaltstrike.html 【関連情報】 ◆aa-tools/cobaltstrikescan.py (JPCERT/CC, 2018/07/31) https://githu…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020