TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

攻撃フレームワーク: Cobalt Strike

Police dismantle ransomware group behind attacks in 71 countries

【訳】世界71カ国で攻撃を受けたランサムウェアグループを警察が解体 【要約】 欧州警察機構(Europol)と欧州司法当局(Eurojust)の協力により、ウクライナで活動していたランサムウェアグループの中心メンバーが逮捕され、これにより71カ国での攻撃が解体…

BlackCat ransomware pushes Cobalt Strike via WinSCP search ad

【訳】BlackCat ランサムウェア、WinSCP 検索広告経由で Cobalt Strike をプッシュする 【図表】 不正な広告によって宣伝されたWebサイト(トレンドマイクロ) クローンWinSCPダウンロードサイト(トレンドマイクロ) 永続性を確立するためのレジストリ操作(…

Black Basta Ransomware Gang Infiltrates Networks via QAKBOT, Brute Ratel, and Cobalt Strike

【ブログ】 ◆Black Basta Ransomware Gang Infiltrates Networks via QAKBOT, Brute Ratel, and Cobalt Strike (Trendmicro, 2022/10/12) [QAKBOT、Brute Ratel、Cobalt Strikeを経由してネットワークに侵入するBlack Bastaランサムウェアのギャングが発生] …

Ransomware gang's Cobalt Strike servers DDoSed with anti-Russia messages

【図表】 反ロシアのメモがex-Conti Cobalt Strikeのサーバーを混乱させる (Vitali Kremez (AdvIntel)) 出典: https://www.bleepingcomputer.com/news/security/ransomware-gangs-cobalt-strike-servers-ddosed-with-anti-russia-messages/ 【ニュース】 ◆Ra…

Cobalt Strike (まとめ)

https://security-tools.hatenablog.com/entry/Cobalt_Strike 【目次】 概要 【辞書】 【ポータルサイト】 【Yara Rules】 記事 【まとめ記事】 【ニュース】 【ブログ】 【公開情報】 【ソフトウェア】 【検索】 【関連情報】 関連情報 【関連まとめ記事】 …

Hackers adopt Sliver toolkit as a Cobalt Strike alternative

【図表】 様々なランサムウェアのペイロードを展開するFIN12ギャング ソース マイクロソフト Sliverテストインプラントからのコンフィギュレーション抽出 出典 マイクロソフト 出典: https://www.bleepingcomputer.com/news/security/hackers-adopt-sliver-t…

Winnti hackers split Cobalt Strike into 154 pieces to evade detecti

【ニュース】 ◆Winnti hackers split Cobalt Strike into 154 pieces to evade detecti (BleepingComputer, 2022/08/18 11:48) [WinntiのハッカーはCobalt Strikeを154個に分割して検知を回避] https://www.bleepingcomputer.com/news/security/winnti-hacke…

Sliver と Cobalt Strike に似た攻撃フレームワーク「Manjusaka」が中国で登場

【ブログ】 ◆Sliver と Cobalt Strike に似た攻撃フレームワーク「Manjusaka」が中国で登場 (Talos(Cisco), 2022/08/15) https://gblogs.cisco.com/jp/2022/08/talos-manjusaka-offensive-framework/ 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (…

Chinese hackers use new Cobalt Strike-like attack framework

【ニュース】 ◆Chinese hackers use new Cobalt Strike-like attack framework (BleepingComputer, 2022/08/02 16:01) https://www.bleepingcomputer.com/news/security/chinese-hackers-use-new-cobalt-strike-like-attack-framework/ 【関連まとめ記事】◆…

ベラルーシの攻撃グループ、ウクライナ政府機関狙うフィッシング展開か

【図表】 GhostWriterによるCobalt Strike Beaconを配布する攻撃チェーンの例 引用:CERT-UA 出典: https://news.mynavi.jp/techplus/article/20220329-2306771/ 【概要】 項目 内容 攻撃組織 GhostWriter 関係国 ベラルーシ 使用ツール Cobalt Strike 使用マ…

Chinese APT Combines Fresh Hodur RAT with Complex Anti-Detection

【ニュース】 ◆Chinese APT Combines Fresh Hodur RAT with Complex Anti-Detection (Threat Post, 2022/03/24 10:08) [中国のAPTは、新鮮なHodur RATと複雑なアンチディテクションを組み合わせています] https://threatpost.com/chinese-apt-combines-fresh…

Emotet starts dropping Cobalt Strike again for faster attacks

【図表】 出典: https://www.bleepingcomputer.com/news/security/emotet-starts-dropping-cobalt-strike-again-for-faster-attacks/ 【ニュース】 ◆Emotet starts dropping Cobalt Strike again for faster attacks (BleepingComputer, 2021/12/15 16:59) […

New ransomware now being deployed in Log4Shell attacks

【ニュース】 ◆New ransomware now being deployed in Log4Shell attacks (BleepingComputer, 2021/12/14 17:02) [新しいランサムウェアがLog4Shell攻撃で展開されるようになった] https://www.bleepingcomputer.com/news/security/new-ransomware-now-being…

Hackers start pushing malware in worldwide Log4Shell attacks

【図表】 Kinsing Log4Shell exploit and decoded commands Kinsing installer script Other malicious cryptominer installers Researchers and threat actors scanning for vulnerable servers 出典:https://www.bleepingcomputer.com/news/security/hacke…

Emotet now drops Cobalt Strike, fast forwards ransomware attacks

【ニュース】 ◆Emotet now drops Cobalt Strike, fast forwards ransomware attacks (BleepingComputer, 2021/12/07 18:21) [EmotetがCobalt Strikeをドロップし、ランサムウェア攻撃を高速化] https://www.bleepingcomputer.com/news/security/emotet-now-d…

Spammers use Squirrelwaffle malware to drop Cobalt Strike

【ニュース】 ◆Spammers use Squirrelwaffle malware to drop Cobalt Strike (BleepingComputer, 2021/10/26) [スパマーがSquirrelwaffleマルウェアを使用してCobalt Strikeを落とす] https://www.bleepingcomputer.com/news/security/spammers-use-squirrel…

Recycled Cobalt Strike key pairs show many crooks are using same cloned installation

【ニュース】 ◆Recycled Cobalt Strike key pairs show many crooks are using same cloned installation (The Register, 2021/10/22 16:32) [リサイクルされたCobalt Strike鍵ペアは、多くの犯罪者が同じクローンインストールを使用していることを示してい…

MS、悪意ある「Office」ドキュメント用いたマルウェア攻撃の現状を解説

【概要】■攻撃組織 名称 使用組織 DEV-0193 Microsoft UNC1878 Mandiant ■関連マルウェア マルウェア名称 備考 BazaLoader Trickbot 【ニュース】 ◆MS、悪意ある「Office」ドキュメント用いたマルウェア攻撃の現状を解説 (ZDNet, 2021/09/17 10:32) https://…

ランサムウェア攻撃で悪用された正規ツールを解説

【概要】 ツール名 用途 使用組織 Cobalt Strike ペネトレーションツール Clop、Conti、DoppelPaymer、Egregor、Hello(WickrMe)、Nefilim、NetWalker、ProLock、RansomExx、Ryuk PsExec リモートアクセスツール DoppelPaymer、Nefilim、NetWalker、Maze、P…

Ransomware: Cring (まとめ)

【目次】 概要 【別名】 【概要】 記事 【ニュース】 【公開情報】 【検索】 関連情報 【関連情報】 【関連まとめ記事】 概要 【別名】 名称 備考 Cring Crypt3r Ghost Phantom Vjiszy1lo 【概要】 ■使用脆弱性 CVE番号 備考 CVE-2018-13379 FortiOSにおける…

Microsoft社のデジタル署名を悪用した「Cobalt Strike loader」による標的型攻撃〜攻撃者グループAPT41

【ブログ】 ◆Microsoft社のデジタル署名を悪用した「Cobalt Strike loader」による標的型攻撃〜攻撃者グループAPT41 (Lac, 2021/05/21) https://www.lac.co.jp/lacwatch/report/20210521_002618.html 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まと…

Cobalt Strike Becomes a Preferred Hacking Tool by Cybercrime, APT Groups

【ニュース】 ◆Cobalt Strike Becomes a Preferred Hacking Tool by Cybercrime, APT Groups (DarkReading, 2021/05/19 17:35) https://www.darkreading.com/attacks-breaches/cobalt-strike-becomes-a-preferred-hacking-tool-by-cybercrime-apt-groups/d/d…

DarkSide Ransomware Operations – Preventions and Detections.

【ニュース】 ◆DarkSide Ransomware Operations – Preventions and Detections. (Blue Team Blog, 2021/05/14) [ダークサイド・ランサムウェアの運用 - 予防と検知] https://blueteamblog.com/darkside-ransomware-operations-preventions-and-detections 【…

Lemon Duck Cryptojacking Botnet Changes Up Tactics

【概要】 マルウェアのツールキットにCobalt Strike攻撃フレームワークを追加 検知回避 中国(「.cn」)、日本(「.jp」)、韓国(「.kr」)のTLD内のWebサイトのみをC2活動に利用 Microsoft Exchangeサーバーを標的 モネロマイニング 少なくとも12種類の初…

Ryuk ransomware operation updates hacking techniques

【図表】 出典: https://www.bleepingcomputer.com/news/security/ryuk-ransomware-operation-updates-hacking-techniques/ 【概要】■使用脆弱性 CVE番号 備考 CVE-2018-8453 Windowsの特権昇格の脆弱性 CVE-2019-1069 Windowsの特権昇格の脆弱性 ■使用ツー…

CompuCom MSP expects over $20M in losses after ransomware attack

【図表】 出典: https://www.bleepingcomputer.com/news/security/compucom-msp-expects-over-20m-in-losses-after-ransomware-attack/ 【ニュース】 ◆CompuCom MSP expects over $20M in losses after ransomware attack (BleepingComputer, 2021/03/28 10:…

How Ryuk Ransomware operators made $34 million from one victim

【概要】 ツール名 備考 Mimikatz メモリから資格情報をダンプするための爆発後のツール PowerShell PowerSploit post-exploitationに使用される PowerShell スクリプト集 LaZagne Mimikatz に似ており、ローカルに保存されたソフトウェアからパスワードを収…

MS、脆弱性「Zerologon」について再度注意喚起 - まずはパッチ適用を、対処FAQも更新

【ニュース】 ◆MS、脆弱性「Zerologon」について再度注意喚起 - まずはパッチ適用を、対処FAQも更新 (Security NEXT, 2020/10/30) https://www.security-next.com/120159 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆Zerologon 攻撃 (まとめ) https:…

CISA: Chinese state hackers are exploiting F5, Citrix, Pulse Secure, and Exchange bugs

【図表】 出典: https://www.zdnet.com/article/cisa-chinese-state-hackers-are-exploiting-f5-citrix-pulse-secure-and-exchange-bugs/ 【ニュース】 ◆CISA: Chinese state hackers are exploiting F5, Citrix, Pulse Secure, and Exchange bugs (ZDNet, 2…

軍事関連文書を装った Office ドキュメントで標的を誘い込み Cobalt Strike を仕掛ける IndigoDrop が拡散中

【ブログ】 ◆軍事関連文書を装った Office ドキュメントで標的を誘い込み Cobalt Strike を仕掛ける IndigoDrop が拡散中 (Talos(CISCO), 2020/07/03) https://gblogs.cisco.com/jp/2020/07/talos-indigodrop-maldocs-cobalt-strike/ 【関連情報】 ◆IndigoDr…