Cobalt Strike

Sliver と Cobalt Strike に似た攻撃フレームワーク「Manjusaka」が中国で登場

Cisco Talos はこのほど、「Manjusaka」という新たな攻撃フレームワークが実際に展開されているのを確認しました。今後広く蔓延する可能性があります。このフレームワークは、Cobalt Strike に倣ったものだと言われています。

2022年8月15日

ドメインフロンティングの手法を使った Cobalt Strike 攻撃がミャンマーを標的に展開

ニュースの概要 2021 年 9 月、Cisco Talos は、リーク版の Cobalt Strike を使用した新しいサイバー攻撃を発見しました。元々は正規ツールとして作成された Cobalt Strike ですが、攻撃を仕掛けるために利用されているため、引き続き監視が必要です。

2021年11月30日

医療・公衆衛生分野を狙う攻撃に関する Cisco Talos のアドバイス

背景情報 Cisco Talos は、米国内の病院および医療機関を標的として、バンキング型トロイの木馬「Trickbot」とランサムウェア「Ryuk」を駆使した攻撃が増加していることを発見しました。セキュリティジャーナリストが 2020 年 10 月 28 日に報じたところによれば、攻撃者は「おそらく数百か所」の医療センターと病院のシステムを暗号化すべく準備を進めていました。

2020年11月17日

Cobalt Strike への対処に向けた Snort / ClamAV の新たなカバレッジ

Cisco Talos は、新たな研究報告「The Art and Science of Detecting Cobalt Strike(Cobalt Strike の検出の技法と理論)」を発表しました。 Cisco Talos は先頃、Cobalt Strike を使用したデータの難読化と漏洩を検出するための一連の SNORTⓇ と ClamAVⓇ…

2020年9月30日

軍事関連文書を装った Office ドキュメントで標的を誘い込み Cobalt Strike を仕掛ける IndigoDrop が拡散中

Cisco Talos が最近発見した攻撃は、標的となるエンドポイントを段階的に感染させる手段として、カスタマイズされた Cobalt Strike ビーコンを使っています。攻撃に利用されている不正文書(Maldoc)のテーマが軍事であることから推測すると、標的になっているのは南アジア諸国の軍組織および政府機関であると考えられます。

2020年7月3日

MSBuild を使用してバイパスを構築

以前の記事では、侵害後の攻撃フェーズにおいて、OS のデフォルト機能や他の正規の実行可能ファイルを使用して「環境寄生型」バイナリを実行する手口について概説しました。このような環境寄生型バイナリを Talos では「LoLBin」と呼んでいます。

2020年2月28日

LoLBin のハンティング

攻撃者の傾向は刻々と変化しています。とは言え、現時点で盛んに利用されている手口を 1 つ挙げるなら、「LoLBin」(living off the land(環境寄生)バイナリ)の使用です。さまざまな攻撃者が、ファイルレスマルウェアや正当なクラウドサービスと組み合わせる形で LoLBin を使用しています。

2019年11月27日