Cobalt Strikeの悪用が80%減少、世界的な取り締まり経て：Fortraが報告

佐々山 Tacos

2025.03.10

3月7〜10日：サイバーセキュリティ関連ニュース

Cobalt Strikeの悪用が80%減少、世界的な取り締まり経て：Fortraが報告

The Record – March 8th, 2025

サイバー攻撃で使用されるCobalt Strikeのインスタンス件数は、世界的な取り締まりの取り組みが始まって以後、ここ2年間で80%減少しているという。2020年にCobalt Strikeを買収し、現在その提供を担うFortra社が報告した。

Cobalt Strikeは2012年に開発された敵対者シミュレーター/ぺネトレーションテスティングソフトウェアで、本来レッドチームによる利用を想定しているもの。しかし海賊版やアンライセンス版が不法マーケットプレイスで出回っており、サイバー犯罪者やランサムウェアグループ、国家支援型アクターなどによって悪用されてきた。

これに対抗すべく、Fortraとマイクロソフト、Health-ISAC（健康情報共有および分析センター）は2023年から協調して取り組みを実施。米ニューヨーク州の裁判所によって、C2サーバーなど、攻撃で使われる「悪意あるインフラ」の追跡を許可されると、ISPや諸CERTの助けを得ながらこうしたインフラのテイクダウンを実施してきた。2024年7月には、Fortraも参加した英国の国家犯罪対策庁（NCA）が主導する捜査作戦「Operation MORPHEUS」の結果、合計690件のIPアドレスを27か国のオンラインサービスプロパイダーへ通知し、うち593件がテイクダウンされるに至っている。

Cobalt Strikeの不正なコピーの件数が80%減少したことは、サイバー犯罪者が同ツールを入手できる可能性を大幅に下げる一助となったと、Fortraは指摘。結果的に同ツールが悪用される頻度は大きく低下し、明白な効果が得られたとのこと。

北朝鮮ハッカーMoonstone SleetがQilinランサムウェアのペイロードを展開するように：マイクロソフトが報告

BleepingComputer – March 7, 2025

マイクロソフトによれば、北朝鮮のハッキンググループ「Moonstone Sleet」（Storm-1789）は最近行われた少数の攻撃において、Qilinランサムウェアのペイロードを展開していたという。

Moonstone Sleetはこれまで、独自のカスタムランサムウェア（FakePenny）のみを攻撃で使っていたが、マイクロソフトは2025年2月後半から同グループが「限定的な数の組織」に対してQilinランサムウェアをデプロイしているのを観測。これは、この北朝鮮アクターがRaaSオペレーターによって開発されたランサムウェアを展開した初めてのケースとされる。

Qilinは2022年8月に「Agenda」という名称のもと浮上したRaaSグループで、現在までに300を超える数の被害組織をダークウェブのリークサイトに掲載している。そのペイロードは国家支援型アクターやサイバー犯罪グループを含む多数の脅威アクターに利用されており、被害者とされる組織には、25,000〜数百万ドルの身代金が要求されてきた。最近では、日本のがん治療施設を攻撃したと主張し、乳がん患者のものとされるレントゲン写真をリークして非道ぶりをアピールしていた。