コバルト
脅威スコアカード
EnigmaSoft脅威スコアカード
EnigmaSoft Threat Scorecards は、当社の調査チームによって収集および分析されたさまざまなマルウェア脅威の評価レポートです。 EnigmaSoft Threat Scorecards は、現実世界および潜在的なリスク要因、傾向、頻度、有病率、永続性など、いくつかの指標を使用して脅威を評価し、ランク付けします。 EnigmaSoft の脅威スコアカードは、当社の調査データと指標に基づいて定期的に更新され、システムからマルウェアを削除するソリューションを求めるエンド ユーザーから、脅威を分析するセキュリティの専門家まで、幅広いコンピューター ユーザーに役立ちます。
EnigmaSoft 脅威スコアカードには、次のようなさまざまな有用な情報が表示されます。
ランキング: EnigmaSoft の脅威データベースにおける特定の脅威のランキング。
重大度:脅威評価基準で説明されているように、リスク モデリング プロセスと調査に基づいて数値で表された、オブジェクトの決定された重大度レベル。
感染したコンピュータ: SpyHunter によって報告された、感染したコンピュータで検出された特定の脅威の確認済みおよび疑いのあるケースの数。
脅威評価基準も参照してください。
ランキング: | 4,110 |
脅威レベル: | 20 % (普通) |
感染したコンピューター: | 2,252 |
最初に見た: | May 5, 2022 |
最後に見たのは: | September 20, 2023 |
影響を受けるOS: | Windows |
Cobaltは、このオペレーティングシステムに17年間存在していたMicrosoftWindowsの脆弱性を利用して拡散しているマルウェア感染です。 Cobaltで使用されている脆弱性CVE-2017-11882は17年間存在していましたが、公開され、2017年11月にMicrosoftによってパッチが適用されました。この脆弱性を使用して、サイバー詐欺師はCobaltを使用して脅威を提供できました。 Strike、脆弱性をテストするために使用されるツール。
目次
何年もの間守られてきたコバルトの秘密
Cobaltは、Visa(クレジットカード会社)からの通知のようなスパムメールメッセージを介して配信され、ロシアでのPayWaveサービスのルール変更を発表していると思われます。被害者は、「Изменениявсистемебезопасности.docVisapayWave.doc」という名前のRTFドキュメントと、同じ名前のアーカイブファイルを受け取ります。電子メールメッセージに添付されたアーカイブファイルの形式で脅威を送信することは、脅威を配信する非常に一般的な方法です。これらの攻撃にパスワードで保護されたアーカイブを使用することは、脅威を検出するために安全な環境でファイルを抽出するため、自動分析システムがファイルを分析するのを防ぐための安全な方法です。ただし、破損したDOCファイルとアーカイブの両方を同じメッセージに含めることで、ソーシャルエンジニアリングの側面がいくらかあります。
Cobaltの配信に使用されている有害なドキュメントが開かれると、PowerShellスクリプトがバックグラウンドで実行されます。このスクリプトは、被害者のコンピューターにCobaltをダウンロードしてインストールし、サイバー犯罪者が感染したコンピューターを制御できるようにします。 Cobalt攻撃中に、被害者のコンピューターにCobaltをダウンロードしてインストールするために、いくつかのスクリプトがダウンロードおよび実行されます。感染したコンピューターでCVE-2017-11882エクスプロイトがトリガーされると、難読化されたJavaScriptファイルがダウンロードされ、感染したコンピューターで実行されます。これにより、別のPowerShellスクリプトがダウンロードされ、感染したコンピューターのメモリにCobaltが直接読み込まれます。 PowerShellスクリプトは、コンピューターの使用をより便利で効率的にするための強力な方法ですが、コンピューターの内部動作とその能力と相互作用する方法により、これらのスクリプトは脅威攻撃で使用される好ましいツールの1つになっています。 Cobaltはメモリに直接ロードされ、破損したDLLファイルは被害者のハードドライブに書き込まれないため、アンチウイルスプログラムがCobalt攻撃が実行されていることを検出するのがより困難になります。
コバルト攻撃があなたとあなたのマシンにどのように影響するか
被害者のコンピューターにCobaltがインストールされると、Cobaltを使用して、感染したコンピューターを制御したり、同じネットワーク上の他のコンピューターシステムにこの脅威をインストールしたりできます。公式にはCobaltStrikeは侵入テストのツールと思われますが、この場合、脅威攻撃を実行するために使用されています。サイバー犯罪者は常に脅威を提供するための新しい方法を探しています。新しい脆弱性は非常に脅威ですが、このような非常に古い脆弱性は、元々適切に対処されていなかった可能性があり、コンピューターユーザーにも脅威をもたらします。多くのコンピュータユーザーはソフトウェアとオペレーティングシステムに定期的にパッチを適用できないことを忘れないでください。つまり、多くのPCは非常に古いエクスプロイトに対して脆弱であり、場合によっては多くのアンチウイルスプログラムによって見落とされます。
コバルトのような脅威からコンピューターを保護する
ほとんどの脅威と同様に、信頼できるセキュリティプログラムの使用は、Cobaltおよび同様の脅威に対する最善の保護です。ただし、これらの攻撃には古いソフトウェアのエクスプロイトが関係しているため、PCのセキュリティ研究者は、ソフトウェアとオペレーティングシステムが最新のセキュリティパッチで完全に更新されていることを確認するようにコンピュータユーザーにアドバイスしています。これは、コンピュータユーザーがセキュリティソフトウェアを使用するのと同じくらい脅威やその他の問題を防ぐのに役立ちます。
URL
コバルト は次の URL を呼び出す場合があります。
betaengine.org |