ユーロポール、サイバー犯罪者が利用するCobalt Strikeサーバー593台をテイクダウン | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ユーロポール、サイバー犯罪者が利用するCobalt Strikeサーバー593台をテイクダウン

Threat Report

Cobalt Strike

Operation Morpheus

Polyfill

ユーロポール、サイバー犯罪者が利用するCobalt Strikeサーバー593台をテイクダウン

Yoshida

Yoshida

2024.07.04

7月4日:サイバーセキュリティ関連ニュース

ユーロポール、サイバー犯罪者が利用するCobalt Strikeサーバー593台をテイクダウン

BleepingComputer – July 3, 2024

欧州刑事警察機構(ユーロポール)が、共同捜査作戦「Operation Morpheus」で593台のCobalt Strikeサーバーをテイクダウンした。これらのサーバーは被害者のネットワークに侵入するため、サイバー犯罪者によって利用されていたものだという。

法執行当局は民間企業と協力し、先月24〜28日の間に犯罪活動に関連する既知のIPアドレスを690件特定。このツールの許可されていないバージョンを無効にするため、収集された情報を27か国のオンラインサービスプロバイダーに提供し、この週の終わりまでに593件のIPアドレスをテイクダウンすることに成功したという。

この作戦は英国家犯罪対策庁(NCA)の主導のもとで実施されたもので、オーストラリアやカナダ、ドイツ、オランダ、ポーランド、米国の法執行当局が参加している。

いまだ有害なPolyfillドメインを参照するホストは38万台以上 Censysが報告

SecurityWeek – July 3, 2024

Censysは、2日時点でいまだに有害なpolyfill.ioドメインを参照しているホストが38万4,773台もあることを報告した。これらのほとんどはドイツのHetznerネットワーク(AS24940)内に存在するが、Huluやワーナーブラザーズなどの主要なプラットフォームに関連するドメインにも、有害なpolyfillエンドポイントにリンクしているホストが多数あるという。

また、政府のWebサイトを含むさまざまな部門でpolyfill.ioドメインが広く使用されていることも判明しており、影響を受けた合計182台のホストで.govドメインが表示されていたとのこと。

さらにCensysは、同じ脅威アクターに制御されていると思われる別のドメイン4件についても言及しており、そのうち1件は昨年6月に始まった有害キャンペーンに使われていた形跡が見られると報告した。これらの不審なドメインのいずれか1つ、または2つ以上を参照している公開ホストは160万件以上ある模様。Censysは昨年のキャンペーンを実施した者が将来、他3件のドメインを悪用して同様の活動を行う可能性があってもおかしくはないと結論づけている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ