Googleは11月18日(米国時間)、「Making Cobalt Strike harder for threat actors to abuse|Google Cloud Blog」において、「Cobalt Strike」の正確なバージョンを調査したと伝えた。正確なバージョンを検出することで、悪意ある行為者以外による「Cobalt Strike」の利用の正当性を判断でき、不正行為の検出の精度が高まるようになると説明している。

  • Making Cobalt Strike harder for threat actors to abuse|Google Cloud Blog

    Making Cobalt Strike harder for threat actors to abuse|Google Cloud Blog

Cobalt Strikeは、複数のソフトウェアツールを1つのJARファイルにまとめたもので、ソフトウェアやネットワークに対してペネトレーションテストを行って脆弱性の評価を行う正規のセキュリティツール。

Cobalt Strikeは正規のツールながら、サイバー攻撃者に悪用されており、コマンド&コントロール(C2: Command and Control) をエンドポイントとし、攻撃者が感染したデバイスを制御するための調整ハブとして動作する集中型サーバをセットアップすることが判明している。

  • Typical Cobalt Strike infrastructure setup|Google Cloud Blog

    Typical Cobalt Strike infrastructure setup|Google Cloud Blog

Cobalt Strike JARファイルのバージョンは、2012年頃に登場したバージョン1.44からブログを公開した時点の最新バージョンであるバージョン4.7まで確認できたと報告されている。34種類のCobalt Strikeリリースバージョンが発見されており、バージョン全体で合計275種類のJARファイルがあることが確認されている。

各バージョンには、およそ10個~100個の攻撃テンプレートバイナリが含まれているという。リリースごとに通常、新しいユニークなビーコンコンポーネントが作成されていることも明らかにされている。ステージャとテンプレートに関しては、バージョン間で一定である傾向にあることもわかった。

GoogleはCobalt Strikeについて、正当なバージョンはそのままに、悪意のあるバージョンを排除するためにバージョンの確認を実施したと述べており、サイバー犯罪者が悪用しにくくすることを意図して行ったと伝えている。