先月、チリ軍（Ejército de Chile）は、「Rhysida」として知られている コバルトストライク・ランサムウェア 攻撃により、軍ドキュメントがダークウェブに流出される被害を受けました。Rhysidaランサムウェアギャングは、チリ軍のネットワークからドキュメントの約30%である36万件を盗み、ダークウェブのデータ流出サイトに盗んだファイルを公開しました。今回のランサムウェアは、コバルトストライク（Cobalt Strike）とC2フレームワークの配布を通じたフィッシング攻撃からネットワークに侵入したものと推定され、攻撃に使用されたマルウェアを実行すると、接続者のファイルを暗号化して「CriticalBreachDetected.pdf」というPDFランサムノートが表示されます。軍ドキュメントは国家機密に準ずる機密情報であるため、コバルトストライクとC2サーバーの悪用によるランサムウェアの深刻さを示すケースとして見られます。 以前のCobalt Strike悪性コードの検知方法に関する記事でも紹介したことがあるコバルトストライク（Cobalt Strike）とは、もともとC2サーバーを構築する商用ペンテストのツールです。独自のC2サーバーを構築できるという特徴のため、しばしばランサムウェアやPC感染攻撃に悪用されることもあります。OSINTサイバーセキュリティ検索エンジンのCriminal IPでは、悪用されたコバルトストライクに感染したIPアドレスを見つけることができ、そのIPアドレスがCriticalの危険レベルで判定された詳細な理由を確認することができます。今回の記事では、RhysidaランサムウェアのようにコバルトストライクとC2サーバーを悪用したマルウェアやランサムウェアに感染したIPアドレスを調べていきます。 コバルトストライク・ランサムウェア及びマルウェアに感染したIPアドレスを検知 Criminal IPでのタグ検索でコバルトストライクを検索すると、一般的にC2サーバーに使用されるボットネットが検索されます。 https://criminalip.io/ja/asset/search?query=tag%3A+cobalt+strike Search Query: tag: cobalt strike 脅威インテリジェンス検索エンジンCriminal