コバルトストライク・ランサムウェア：軍ドキュメントのダークウェブ流出の原因

先月、チリ軍（Ejército de Chile）は、「Rhysida」として知られているコバルトストライク・ランサムウェア攻撃により、軍ドキュメントがダークウェブに流出される被害を受けました。Rhysidaランサムウェアギャングは、チリ軍のネットワークからドキュメントの約30%である36万件を盗み、ダークウェブのデータ流出サイトに盗んだファイルを公開しました。今回のランサムウェアは、コバルトストライク（Cobalt Strike）とC2フレームワークの配布を通じたフィッシング攻撃からネットワークに侵入したものと推定され、攻撃に使用されたマルウェアを実行すると、接続者のファイルを暗号化して「CriticalBreachDetected.pdf」というPDFランサムノートが表示されます。軍ドキュメントは国家機密に準ずる機密情報であるため、コバルトストライクとC2サーバーの悪用によるランサムウェアの深刻さを示すケースとして見られます。

以前のCobalt Strike悪性コードの検知方法に関する記事でも紹介したことがあるコバルトストライク（Cobalt Strike）とは、もともとC2サーバーを構築する商用ペンテストのツールです。独自のC2サーバーを構築できるという特徴のため、しばしばランサムウェアやPC感染攻撃に悪用されることもあります。OSINTサイバーセキュリティ検索エンジンのCriminal IPでは、悪用されたコバルトストライクに感染したIPアドレスを見つけることができ、そのIPアドレスがCriticalの危険レベルで判定された詳細な理由を確認することができます。今回の記事では、RhysidaランサムウェアのようにコバルトストライクとC2サーバーを悪用したマルウェアやランサムウェアに感染したIPアドレスを調べていきます。

コバルトストライク・ランサムウェア及びマルウェアに感染したIPアドレスを検知

Criminal IPでのタグ検索でコバルトストライクを検索すると、一般的にC2サーバーに使用されるボットネットが検索されます。

• https://criminalip.io/ja/asset/search?query=tag%3A+cobalt+strike

Search Query: tag: cobalt strike

脅威インテリジェンス検索エンジンCriminal IPで「tag: cobalt strike」を検索した結果

ほとんどの検索結果でインバウンドとアウトバウンドのスコアリングがすべてCriticalで表示されていることがわかります。無論、コバルトストライクを使用しているだけで危険なIPアドレスと判断されるわけではなく、総合的な情報を基にスコアリングが決まります。例えば、SnortルールやMISPのようなレピュテーションで悪性と判定されたIPアドレスは、コバルトストライクが悪用されたマルウェアである可能性が高いが、「tag: cobalt strike」に「snort_rule: C2」フィルターを追加して検索すると、C2サーバーを悪用して悪意のあるネットワーク活動に当たるIPアドレスを検索することができます。

• https://www.criminalip.io/ja/asset/search?query=tag%3A+cobalt+strike+snort_rule%3A+C2

Search Query: tag: cobalt strike snort_rule: C2

脅威インテリジェンス検索エンジンCriminal IPで「tag: cobalt strike snort_rule: C2」を検索した結果

コバルトストライク・ランサムウェア及びマルウェアに感染したIPアドレスの詳細情報

もう少し詳しくコバルトストライク・ランサムウェア及びマルウェアに感染したIPアドレスを確認するために検索結果の一つをクリックして詳細情報を確認してみました。上記で言及された外部レピュテーション情報が当IPアドレスでも検知されたことが確認できました。SnortのIDS（侵入検知システム）でコバルトストライク C2サーバーのアクセスが検知されたという意味です。

SnortのIDS（侵入検知システム）でアクセスが検知されたコバルトストライク C2サーバー

また、当IPアドレスはフィッシングドメインに連結された履歴があり、「接続ドメイン」と「悪用履歴」のところで当IPアドレスが違法な活動やサービスと関連していることが確認できました。

フィッシングドメインと連結された履歴があるコバルトストライク・マルウェアの感染IPアドレス

さらに、当IPアドレスで発見されたオープンポートのバナーを見ると、HTTP・HTTPSと通信したビーコン（Beacon）が検出されたことが分かります。ビーコンは、コバルトストライクの攻撃コマンドを実行するエージェントで、実質的なマルウェアと見られます。

コバルトストライクのビーコン（マルウェア）が検出されたオープンポート

脅威インテリジェンス連動を通じたコバルトストライク・ランサムウェア及びマルウェアの予防

コバルトストライク・ランサムウェアとマルウェアに感染したIPアドレスが、公認されたセキュリティ機関やサービスプロバイダーによってブラックリストに指定されている場合、ブラックリストDBをファイアウォールや既存のセキュリティソリューションに連動させることで、そのIPアドレスのアクセスを検出し、ブロックすることができます。しかし、まだブラックリストに登録されていない新しい感染IPアドレスの場合、ブラックリストDBを連動しても実質的なブロックは無理かもしれません。

一方、Criminal IPの脅威インテリジェンス（Threat intelligence、TI）は、既存のブラックリスト情報を提供するだけでなく、リアルタイム分析で既存のブラックリストにない新たに感染したIPアドレス・悪性IPアドレスも更新するという強みがあります。したがって、ファイアウォールやIPS、SOARなど使用中のセキュリティソリューションにCriminal IPのTIデータを連動すると、ブラックリストDBに登録されているIPアドレスでなくても、コバルトストライク・ランサムウェアに感染したサイトやIPアドレスのアウトバウンドアクセスをブロックし、サイバー脅威を予防するのに大きな助けになります。

関連しては、Cobalt Strike悪性コード（ボットネットサーバー）に感染したサーバーを検知する方法についての映像をご参照ください。

データの提供：Criminal IP (https://www.criminalip.io)

ご参照：