【図表】 GhostWriterによるCobalt Strike Beaconを配布する攻撃チェーンの例 引用:CERT-UA 出典: https://news.mynavi.jp/techplus/article/20220329-2306771/ 【概要】 項目 内容 攻撃組織 GhostWriter 関係国 ベラルーシ 使用ツール Cobalt Strike 使用マ…

【図表】 出典: https://www.bleepingcomputer.com/news/security/emotet-starts-dropping-cobalt-strike-again-for-faster-attacks/ 【ニュース】 ◆Emotet starts dropping Cobalt Strike again for faster attacks (BleepingComputer, 2021/12/15 16:59) […

【ニュース】 ◆New ransomware now being deployed in Log4Shell attacks (BleepingComputer, 2021/12/14 17:02) [新しいランサムウェアがLog4Shell攻撃で展開されるようになった] https://www.bleepingcomputer.com/news/security/new-ransomware-now-being…

【図表】 Kinsing Log4Shell exploit and decoded commands Kinsing installer script Other malicious cryptominer installers Researchers and threat actors scanning for vulnerable servers 出典:https://www.bleepingcomputer.com/news/security/hacke…

【ニュース】 ◆Emotet now drops Cobalt Strike, fast forwards ransomware attacks (BleepingComputer, 2021/12/07 18:21) [EmotetがCobalt Strikeをドロップし、ランサムウェア攻撃を高速化] https://www.bleepingcomputer.com/news/security/emotet-now-d…

【ニュース】 ◆Spammers use Squirrelwaffle malware to drop Cobalt Strike (BleepingComputer, 2021/10/26) [スパマーがSquirrelwaffleマルウェアを使用してCobalt Strikeを落とす] https://www.bleepingcomputer.com/news/security/spammers-use-squirrel…

【目次】 概要 【辞書】 【ポータルサイト】 【Yara Rules】 記事 【ニュース】 【ブログ】 【公開情報】 【ソフトウェア】 【関連情報】 関連情報 【関連まとめ記事】 概要 【辞書】 ◆Cobalt Strike (Wikipedia) https://de.wikipedia.org/wiki/Cobalt_Stri…

【ニュース】 ◆Recycled Cobalt Strike key pairs show many crooks are using same cloned installation (The Register, 2021/10/22 16:32) [リサイクルされたCobalt Strike鍵ペアは、多くの犯罪者が同じクローンインストールを使用していることを示してい…

【概要】■攻撃組織 名称 使用組織 DEV-0193 Microsoft UNC1878 Mandiant ■関連マルウェア マルウェア名称 備考 BazaLoader Trickbot 【ニュース】 ◆MS、悪意ある「Office」ドキュメント用いたマルウェア攻撃の現状を解説 (ZDNet, 2021/09/17 10:32) https://…

【概要】 ツール名 用途 使用組織 Cobalt Strike ペネトレーションツール Clop、Conti、DoppelPaymer、Egregor、Hello（WickrMe）、Nefilim、NetWalker、ProLock、RansomExx、Ryuk PsExec リモートアクセスツール DoppelPaymer、Nefilim、NetWalker、Maze、P…

【目次】 概要 【別名】 【概要】 記事 【ニュース】 【公開情報】 【検索】 関連情報 【関連まとめ記事】 概要 【別名】 名称 備考 Cring Crypt3r Ghost Phantom Vjiszy1lo 【概要】 ■使用脆弱性 CVE番号 備考 CVE-2018-13379 FortiOSにおける VPNの脆弱性(…

【ブログ】 ◆Microsoft社のデジタル署名を悪用した「Cobalt Strike loader」による標的型攻撃〜攻撃者グループAPT41 (Lac, 2021/05/21) https://www.lac.co.jp/lacwatch/report/20210521_002618.html 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まと…

【ニュース】 ◆Cobalt Strike Becomes a Preferred Hacking Tool by Cybercrime, APT Groups (DarkReading, 2021/05/19 17:35) https://www.darkreading.com/attacks-breaches/cobalt-strike-becomes-a-preferred-hacking-tool-by-cybercrime-apt-groups/d/d…

【ニュース】 ◆DarkSide Ransomware Operations – Preventions and Detections. (Blue Team Blog, 2021/05/14) [ダークサイド・ランサムウェアの運用 - 予防と検知] https://blueteamblog.com/darkside-ransomware-operations-preventions-and-detections 【…

【概要】 マルウェアのツールキットにCobalt Strike攻撃フレームワークを追加 検知回避 中国（「.cn」）、日本（「.jp」）、韓国（「.kr」）のTLD内のWebサイトのみをC2活動に利用 Microsoft Exchangeサーバーを標的 モネロマイニング 少なくとも12種類の初…

【図表】 出典: https://www.bleepingcomputer.com/news/security/ryuk-ransomware-operation-updates-hacking-techniques/ 【概要】■使用脆弱性 CVE番号 備考 CVE-2018-8453 Windowsの特権昇格の脆弱性 CVE-2019-1069 Windowsの特権昇格の脆弱性 ■使用ツー…

【図表】 出典: https://www.bleepingcomputer.com/news/security/compucom-msp-expects-over-20m-in-losses-after-ransomware-attack/ 【ニュース】 ◆CompuCom MSP expects over $20M in losses after ransomware attack (BleepingComputer, 2021/03/28 10:…

【概要】 ツール名 備考 Mimikatz メモリから資格情報をダンプするための爆発後のツール PowerShell PowerSploit post-exploitationに使用される PowerShell スクリプト集 LaZagne Mimikatz に似ており、ローカルに保存されたソフトウェアからパスワードを収…

【ニュース】 ◆MS、脆弱性「Zerologon」について再度注意喚起 - まずはパッチ適用を、対処FAQも更新 (Security NEXT, 2020/10/30) https://www.security-next.com/120159 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆Zerologon 攻撃 (まとめ) https:…

【図表】 出典: https://www.zdnet.com/article/cisa-chinese-state-hackers-are-exploiting-f5-citrix-pulse-secure-and-exchange-bugs/ 【ニュース】 ◆CISA: Chinese state hackers are exploiting F5, Citrix, Pulse Secure, and Exchange bugs (ZDNet, 2…

【ニュース】 ◆軍事関連文書を装った Office ドキュメントで標的を誘い込み Cobalt Strike を仕掛ける IndigoDrop が拡散中 (Talos(CISCO), 2020/07/03) https://gblogs.cisco.com/jp/2020/07/talos-indigodrop-maldocs-cobalt-strike/ 【関連情報】 ◆Indigo…

【ニュース】 ◆IndigoDrop spreads via military-themed lures to deliver Cobalt Strike (Talos(CISCO), 2020/06/22) https://blog.talosintelligence.com/2020/06/indigodrop-maldocs-cobalt-strike.html 【関連情報】 ◆軍事関連文書を装った Office ドキ…

【概要】■攻撃組織 Winnti ■使用ツール Cobalt Strike ■期間 2020/05/04 ～ 2020/05/05 ■攻撃対象 台湾国内の多くの重要なエネルギーおよびテクノロジー企業 ■使用マルウェア Cobaltstrike ランサムウェア ■攻撃方法 数か月前に従業員のパーソナルコンピュー…

【ニュース】 ◆国家関与のサイバー攻撃、新型コロナ問題に便乗 - 中国のグループも (Security NEXT, 2020/03/18) http://www.security-next.com/113281 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まとめ) ◆標的型攻撃組織 / APT (まとめ) ◆HoneyMyt…

【図表】 出典: https://insight-jp.nttsecurity.com/post/102fz2k/kiya 【公開情報】 ◆建築業界を狙ったサイバー攻撃オペレーション「kiya」について (NTTSecurity, 2020/02/21) https://insight-jp.nttsecurity.com/post/102fz2k/kiya 【関連まとめ記事】◆…

【要点】 ◎2018年秋頃から複数の自動車関連企業の東南アジア拠点でOceanLotusによる攻撃を観測 【概要】■攻撃手法 履歴書の送付を装った「代表アドレス」へのメールを多く観測 メールにはWordファイルが添付 Template Injectionの手法でマクロを自動的にダウ…

【要点】 ◆JPCERT/CCが、2019年1月1日～3月31日を対象にした「インシデント報告対応レポート」を公開 【図表】 出典: https://internet.watch.impress.co.jp/img/iw/docs/1179/880/html/01.jpg.html 【ニュース】 ◆文字列「cojp」の後にgTLD「.com」を付けた…

【ブログ】 ◆NEW GLOBAL CYBER ATTACK ON POINT OF SALE SYSTEMS (CyberSecurity Blog(Morphisec), 2019/02/27) http://blog.morphisec.com/new-global-attack-on-point-of-sale-systems 【インディケータ情報】 ◆Fin6 (IoC (TT Malware Log)) https://ioc.h…

【図表】 確認された電子メール キャンペーン 出典: https://gblogs.cisco.com/jp/2018/08/talos-multiple-cobalt-personality-disorder/ 【ニュース】 ◆Cobalt に似た複数の攻撃 (CISCO, 2018/08/20 14:32) https://gblogs.cisco.com/jp/2018/08/talos-mult…

【ツール】 ◆aa-tools/cobaltstrikescan.py (JPCERT/CC, 2018/07/31) https://github.com/JPCERTCC/aa-tools/blob/master/cobaltstrikescan.py 【関連まとめ記事】◆全体まとめ ◆ツール (まとめ) ◆マルウェア作成支援ツール (まとめ) ◆Cobalt Strike (まとめ)…