現在HelpSystemsが提供している「Cobalt Strike」は、ソフトウェアやネットワークに対してペネトレーションテストを行って脆弱性の評価を行う正規のセキュリティツールである。しかし近年、このCobalt Strikeがサイバー攻撃者からも利用されるようになっている。eSecurity Planetは3月10日、Cobalt Strikeがサイバー攻撃者の間で人気のある理由や悪用されるようになった経緯について伝えた。
Cobalt Strikeに用意されたさまざまなツールのうち、脅威アクターが好んで使用するのがCobalt Strike Beaconである。これは対象のマシンに対してエージェントとしてBeaconを設置し、ファイルのアップロードやC2(Command and Control)サーバとの通信などを秘密裏に行えるツールで、通常はセキュリティテストにおいて攻撃者の行動を再現するために利用される。しかし、悪意のある攻撃者がこのBeaconをペイロードとして標的のマシンに密かに設置できれば、そのまま攻撃にも悪用することが可能になる。
eSecurity Planetは、Cobalt StrikeのC2プロトコルはDNSベースであるため、従来のHTTPトラフィックと比較して検出が困難であることや、ペイロードの暗号化に静的分析とハッシュ検出が困難な方式が用いられてることなどが、Cobalt Strikeが脅威アクターに好まれる理由と指摘している。
攻撃者は、さまざまな攻撃手法を駆使してCobalt Strikeのペイロードを標的のマシンに埋め込もうとしてくる。これまでにも、Microsoft Exchangeサーバの脆弱性や悪意のあるマクロを仕込んだMS Office文書を悪用する方法などで、Cobalt Strike Beaconを設置して攻撃の永続化を行った例が確認されている。
eSecurity Planetは、Cobalt Strikeは強力なツールであり、検出も難しいことから、これを悪用した攻撃は今後も続く可能性があると指摘している。また、攻撃者が正規のセキュリティツールを攻撃に転用するのが珍しい試みではなく、決してCobalt Strikeだけが脅威というわけではないと警告している。