TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

攻撃フレームワーク: Cobalt Strike

Black Basta Ransomware Gang Infiltrates Networks via QAKBOT, Brute Ratel, and Cobalt Strike

【ブログ】 ◆Black Basta Ransomware Gang Infiltrates Networks via QAKBOT, Brute Ratel, and Cobalt Strike (Trendmicro, 2022/10/12) [QAKBOT、Brute Ratel、Cobalt Strikeを経由してネットワークに侵入するBlack Bastaランサムウェアのギャングが発生] …

Ransomware gang's Cobalt Strike servers DDoSed with anti-Russia messages

【図表】 反ロシアのメモがex-Conti Cobalt Strikeのサーバーを混乱させる (Vitali Kremez (AdvIntel)) 出典: https://www.bleepingcomputer.com/news/security/ransomware-gangs-cobalt-strike-servers-ddosed-with-anti-russia-messages/ 【ニュース】 ◆Ra…

Cobalt Strike (まとめ)

https://security-tools.hatenablog.com/entry/Cobalt_Strike 【目次】 概要 【辞書】 【ポータルサイト】 【Yara Rules】 記事 【まとめ記事】 【ニュース】 【ブログ】 【公開情報】 【ソフトウェア】 【関連情報】 関連情報 【関連まとめ記事】 概要 【辞…

Hackers adopt Sliver toolkit as a Cobalt Strike alternative

【図表】 様々なランサムウェアのペイロードを展開するFIN12ギャング ソース マイクロソフト Sliverテストインプラントからのコンフィギュレーション抽出 出典 マイクロソフト 出典: https://www.bleepingcomputer.com/news/security/hackers-adopt-sliver-t…

Winnti hackers split Cobalt Strike into 154 pieces to evade detecti

【ニュース】 ◆Winnti hackers split Cobalt Strike into 154 pieces to evade detecti (BleepingComputer, 2022/08/18 11:48) [WinntiのハッカーはCobalt Strikeを154個に分割して検知を回避] https://www.bleepingcomputer.com/news/security/winnti-hacke…

Sliver と Cobalt Strike に似た攻撃フレームワーク「Manjusaka」が中国で登場

【ブログ】 ◆Sliver と Cobalt Strike に似た攻撃フレームワーク「Manjusaka」が中国で登場 (Talos(Cisco), 2022/08/15) https://gblogs.cisco.com/jp/2022/08/talos-manjusaka-offensive-framework/ 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (…

Chinese hackers use new Cobalt Strike-like attack framework

【ニュース】 ◆Chinese hackers use new Cobalt Strike-like attack framework (BleepingComputer, 2022/08/02 16:01) https://www.bleepingcomputer.com/news/security/chinese-hackers-use-new-cobalt-strike-like-attack-framework/ 【関連まとめ記事】◆…

ベラルーシの攻撃グループ、ウクライナ政府機関狙うフィッシング展開か

【図表】 GhostWriterによるCobalt Strike Beaconを配布する攻撃チェーンの例 引用:CERT-UA 出典: https://news.mynavi.jp/techplus/article/20220329-2306771/ 【概要】 項目 内容 攻撃組織 GhostWriter 関係国 ベラルーシ 使用ツール Cobalt Strike 使用マ…

Emotet starts dropping Cobalt Strike again for faster attacks

【図表】 出典: https://www.bleepingcomputer.com/news/security/emotet-starts-dropping-cobalt-strike-again-for-faster-attacks/ 【ニュース】 ◆Emotet starts dropping Cobalt Strike again for faster attacks (BleepingComputer, 2021/12/15 16:59) […

New ransomware now being deployed in Log4Shell attacks

【ニュース】 ◆New ransomware now being deployed in Log4Shell attacks (BleepingComputer, 2021/12/14 17:02) [新しいランサムウェアがLog4Shell攻撃で展開されるようになった] https://www.bleepingcomputer.com/news/security/new-ransomware-now-being…

Hackers start pushing malware in worldwide Log4Shell attacks

【図表】 Kinsing Log4Shell exploit and decoded commands Kinsing installer script Other malicious cryptominer installers Researchers and threat actors scanning for vulnerable servers 出典:https://www.bleepingcomputer.com/news/security/hacke…

Emotet now drops Cobalt Strike, fast forwards ransomware attacks

【ニュース】 ◆Emotet now drops Cobalt Strike, fast forwards ransomware attacks (BleepingComputer, 2021/12/07 18:21) [EmotetがCobalt Strikeをドロップし、ランサムウェア攻撃を高速化] https://www.bleepingcomputer.com/news/security/emotet-now-d…

Spammers use Squirrelwaffle malware to drop Cobalt Strike

【ニュース】 ◆Spammers use Squirrelwaffle malware to drop Cobalt Strike (BleepingComputer, 2021/10/26) [スパマーがSquirrelwaffleマルウェアを使用してCobalt Strikeを落とす] https://www.bleepingcomputer.com/news/security/spammers-use-squirrel…

Recycled Cobalt Strike key pairs show many crooks are using same cloned installation

【ニュース】 ◆Recycled Cobalt Strike key pairs show many crooks are using same cloned installation (The Register, 2021/10/22 16:32) [リサイクルされたCobalt Strike鍵ペアは、多くの犯罪者が同じクローンインストールを使用していることを示してい…

MS、悪意ある「Office」ドキュメント用いたマルウェア攻撃の現状を解説

【概要】■攻撃組織 名称 使用組織 DEV-0193 Microsoft UNC1878 Mandiant ■関連マルウェア マルウェア名称 備考 BazaLoader Trickbot 【ニュース】 ◆MS、悪意ある「Office」ドキュメント用いたマルウェア攻撃の現状を解説 (ZDNet, 2021/09/17 10:32) https://…

ランサムウェア攻撃で悪用された正規ツールを解説

【概要】 ツール名 用途 使用組織 Cobalt Strike ペネトレーションツール Clop、Conti、DoppelPaymer、Egregor、Hello(WickrMe)、Nefilim、NetWalker、ProLock、RansomExx、Ryuk PsExec リモートアクセスツール DoppelPaymer、Nefilim、NetWalker、Maze、P…

Ransomware: Cring (まとめ)

【目次】 概要 【別名】 【概要】 記事 【ニュース】 【公開情報】 【検索】 関連情報 【関連情報】 【関連まとめ記事】 概要 【別名】 名称 備考 Cring Crypt3r Ghost Phantom Vjiszy1lo 【概要】 ■使用脆弱性 CVE番号 備考 CVE-2018-13379 FortiOSにおける…

Microsoft社のデジタル署名を悪用した「Cobalt Strike loader」による標的型攻撃〜攻撃者グループAPT41

【ブログ】 ◆Microsoft社のデジタル署名を悪用した「Cobalt Strike loader」による標的型攻撃〜攻撃者グループAPT41 (Lac, 2021/05/21) https://www.lac.co.jp/lacwatch/report/20210521_002618.html 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まと…

Cobalt Strike Becomes a Preferred Hacking Tool by Cybercrime, APT Groups

【ニュース】 ◆Cobalt Strike Becomes a Preferred Hacking Tool by Cybercrime, APT Groups (DarkReading, 2021/05/19 17:35) https://www.darkreading.com/attacks-breaches/cobalt-strike-becomes-a-preferred-hacking-tool-by-cybercrime-apt-groups/d/d…

DarkSide Ransomware Operations – Preventions and Detections.

【ニュース】 ◆DarkSide Ransomware Operations – Preventions and Detections. (Blue Team Blog, 2021/05/14) [ダークサイド・ランサムウェアの運用 - 予防と検知] https://blueteamblog.com/darkside-ransomware-operations-preventions-and-detections 【…

Lemon Duck Cryptojacking Botnet Changes Up Tactics

【概要】 マルウェアのツールキットにCobalt Strike攻撃フレームワークを追加 検知回避 中国(「.cn」)、日本(「.jp」)、韓国(「.kr」)のTLD内のWebサイトのみをC2活動に利用 Microsoft Exchangeサーバーを標的 モネロマイニング 少なくとも12種類の初…

Ryuk ransomware operation updates hacking techniques

【図表】 出典: https://www.bleepingcomputer.com/news/security/ryuk-ransomware-operation-updates-hacking-techniques/ 【概要】■使用脆弱性 CVE番号 備考 CVE-2018-8453 Windowsの特権昇格の脆弱性 CVE-2019-1069 Windowsの特権昇格の脆弱性 ■使用ツー…

CompuCom MSP expects over $20M in losses after ransomware attack

【図表】 出典: https://www.bleepingcomputer.com/news/security/compucom-msp-expects-over-20m-in-losses-after-ransomware-attack/ 【ニュース】 ◆CompuCom MSP expects over $20M in losses after ransomware attack (BleepingComputer, 2021/03/28 10:…

How Ryuk Ransomware operators made $34 million from one victim

【概要】 ツール名 備考 Mimikatz メモリから資格情報をダンプするための爆発後のツール PowerShell PowerSploit post-exploitationに使用される PowerShell スクリプト集 LaZagne Mimikatz に似ており、ローカルに保存されたソフトウェアからパスワードを収…

MS、脆弱性「Zerologon」について再度注意喚起 - まずはパッチ適用を、対処FAQも更新

【ニュース】 ◆MS、脆弱性「Zerologon」について再度注意喚起 - まずはパッチ適用を、対処FAQも更新 (Security NEXT, 2020/10/30) https://www.security-next.com/120159 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆Zerologon 攻撃 (まとめ) https:…

CISA: Chinese state hackers are exploiting F5, Citrix, Pulse Secure, and Exchange bugs

【図表】 出典: https://www.zdnet.com/article/cisa-chinese-state-hackers-are-exploiting-f5-citrix-pulse-secure-and-exchange-bugs/ 【ニュース】 ◆CISA: Chinese state hackers are exploiting F5, Citrix, Pulse Secure, and Exchange bugs (ZDNet, 2…

軍事関連文書を装った Office ドキュメントで標的を誘い込み Cobalt Strike を仕掛ける IndigoDrop が拡散中

【ブログ】 ◆軍事関連文書を装った Office ドキュメントで標的を誘い込み Cobalt Strike を仕掛ける IndigoDrop が拡散中 (Talos(CISCO), 2020/07/03) https://gblogs.cisco.com/jp/2020/07/talos-indigodrop-maldocs-cobalt-strike/ 【関連情報】 ◆IndigoDr…

IndigoDrop spreads via military-themed lures to deliver Cobalt Strike

【ニュース】 ◆IndigoDrop spreads via military-themed lures to deliver Cobalt Strike (Talos(CISCO), 2020/06/22) https://blog.talosintelligence.com/2020/06/indigodrop-maldocs-cobalt-strike.html 【関連情報】 ◆軍事関連文書を装った Office ドキ…

重要な国内企業に対するランサムウェア攻撃の調査の説明 (國內重要企業遭勒索軟體攻擊事件調查說明)

【概要】■攻撃組織 Winnti ■使用ツール Cobalt Strike ■期間 2020/05/04 ~ 2020/05/05 ■攻撃対象 台湾国内の多くの重要なエネルギーおよびテクノロジー企業 ■使用マルウェア Cobaltstrike ランサムウェア ■攻撃方法 数か月前に従業員のパーソナルコンピュー…

国家関与のサイバー攻撃、新型コロナ問題に便乗 - 中国のグループも

【ニュース】 ◆国家関与のサイバー攻撃、新型コロナ問題に便乗 - 中国のグループも (Security NEXT, 2020/03/18) http://www.security-next.com/113281 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まとめ) ◆標的型攻撃組織 / APT (まとめ) ◆HoneyMyt…