Threat Database Trojans コバルト

コバルト

脅威スコアカード

ランキング: 4,110
脅威レベル: 20 % (普通)
感染したコンピューター: 2,252
最初に見た: May 5, 2022
最後に見たのは: September 20, 2023
影響を受けるOS: Windows

Cobaltは、このオペレーティングシステムに17年間存在していたMicrosoftWindowsの脆弱性を利用して拡散しているマルウェア感染です。 Cobaltで使用されている脆弱性CVE-2017-11882は17年間存在していましたが、公開され、2017年11月にMicrosoftによってパッチが適用されました。この脆弱性を使用して、サイバー詐欺師はCobaltを使用して脅威を提供できました。 Strike、脆弱性をテストするために使用されるツール。

何年もの間守られてきたコバルトの秘密

Cobaltは、Visa(クレジットカード会社)からの通知のようなスパムメールメッセージを介して配信され、ロシアでのPayWaveサービスのルール変更を発表していると思われます。被害者は、「Изменениявсистемебезопасности.docVisapayWave.doc」という名前のRTFドキュメントと、同じ名前のアーカイブファイルを受け取ります。電子メールメッセージに添付されたアーカイブファイルの形式で脅威を送信することは、脅威を配信する非常に一般的な方法です。これらの攻撃にパスワードで保護されたアーカイブを使用することは、脅威を検出するために安全な環境でファイルを抽出するため、自動分析システムがファイルを分析するのを防ぐための安全な方法です。ただし、破損したDOCファイルとアーカイブの両方を同じメッセージに含めることで、ソーシャルエンジニアリングの側面がいくらかあります。

Cobaltの配信に使用されている有害なドキュメントが開かれると、PowerShellスクリプトがバックグラウンドで実行されます。このスクリプトは、被害者のコンピューターにCobaltをダウンロードしてインストールし、サイバー犯罪者が感染したコンピューターを制御できるようにします。 Cobalt攻撃中に、被害者のコンピューターにCobaltをダウンロードしてインストールするために、いくつかのスクリプトがダウンロードおよび実行されます。感染したコンピューターでCVE-2017-11882エクスプロイトがトリガーされると、難読化されたJavaScriptファイルがダウンロードされ、感染したコンピューターで実行されます。これにより、別のPowerShellスクリプトがダウンロードされ、感染したコンピューターのメモリにCobaltが直接読み込まれます。 PowerShellスクリプトは、コンピューターの使用をより便利で効率的にするための強力な方法ですが、コンピューターの内部動作とその能力と相互作用する方法により、これらのスクリプトは脅威攻撃で使用される好ましいツールの1つになっています。 Cobaltはメモリに直接ロードされ、破損したDLLファイルは被害者のハードドライブに書き込まれないため、アンチウイルスプログラムがCobalt攻撃が実行されていることを検出するのがより困難になります。

コバルト攻撃があなたとあなたのマシンにどのように影響するか

被害者のコンピューターにCobaltがインストールされると、Cobaltを使用して、感染したコンピューターを制御したり、同じネットワーク上の他のコンピューターシステムにこの脅威をインストールしたりできます。公式にはCobaltStrikeは侵入テストのツールと思われますが、この場合、脅威攻撃を実行するために使用されています。サイバー犯罪者は常に脅威を提供するための新しい方法を探しています。新しい脆弱性は非常に脅威ですが、このような非常に古い脆弱性は、元々適切に対処されていなかった可能性があり、コンピューターユーザーにも脅威をもたらします。多くのコンピュータユーザーはソフトウェアとオペレーティングシステムに定期的にパッチを適用できないことを忘れないでください。つまり、多くのPCは非常に古いエクスプロイトに対して脆弱であり、場合によっては多くのアンチウイルスプログラムによって見落とされます。

コバルトのような脅威からコンピューターを保護する

ほとんどの脅威と同様に、信頼できるセキュリティプログラムの使用は、Cobaltおよび同様の脅威に対する最善の保護です。ただし、これらの攻撃には古いソフトウェアのエクスプロイトが関係しているため、PCのセキュリティ研究者は、ソフトウェアとオペレーティングシステムが最新のセキュリティパッチで完全に更新されていることを確認するようにコンピュータユーザーにアドバイスしています。これは、コンピュータユーザーがセキュリティソフトウェアを使用するのと同じくらい脅威やその他の問題を防ぐのに役立ちます。

URL

コバルト は次の URL を呼び出す場合があります。

betaengine.org

トレンド

最も見られました

読み込んでいます...