Cobalt Strike
脅威スコアカード
EnigmaSoft脅威スコアカード
EnigmaSoft Threat Scorecards は、当社の調査チームによって収集および分析されたさまざまなマルウェア脅威の評価レポートです。 EnigmaSoft Threat Scorecards は、現実世界および潜在的なリスク要因、傾向、頻度、有病率、永続性など、いくつかの指標を使用して脅威を評価し、ランク付けします。 EnigmaSoft の脅威スコアカードは、当社の調査データと指標に基づいて定期的に更新され、システムからマルウェアを削除するソリューションを求めるエンド ユーザーから、脅威を分析するセキュリティの専門家まで、幅広いコンピューター ユーザーに役立ちます。
EnigmaSoft 脅威スコアカードには、次のようなさまざまな有用な情報が表示されます。
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
重大度:脅威評価基準で説明されているように、リスク モデリング プロセスと調査に基づいて数値で表された、オブジェクトの決定された重大度レベル。
感染したコンピュータ: SpyHunter によって報告された、感染したコンピュータで検出された特定の脅威の確認済みおよび疑いのあるケースの数。
脅威評価基準も参照してください。
| Popularity Rank: | 12,709 |
| 脅威レベル: | 80 % (高い) |
| 感染したコンピューター: | 100 |
| 最初に見た: | October 29, 2021 |
| 最後に見たのは: | January 15, 2026 |
| 影響を受けるOS: | Windows |
Cobalt Strike マルウェアは、金融機関やその他の組織を標的にするために使用される脅威的なソフトウェアであり、Windows、Linux、および Mac OS X システムを使用するコンピューターに感染する可能性があります。これは 2012 年に初めて発見され、ロシア語を話すサイバー犯罪グループ Cobalt Group の仕業であると考えられています。このマルウェアは、システムの脆弱性を悪用して、銀行、ATM、およびその他の金融機関からお金を集めるように設計されています。これは、2016 年のバングラデシュ銀行に対する 8,100 万ドルの盗難を含む、いくつかの有名な攻撃に関連しています。 Cobalt Strike は、データ流出、ランサムウェア攻撃、および分散型サービス拒否 (DDoS) 攻撃にも使用できます。
コンピュータが Cobalt Strike マルウェアに感染する仕組み
Cobalt Strike マルウェアは通常、破損した電子メールまたは Web サイトを介して拡散します。電子メールには、安全でない Web サイトへのリンクが含まれている場合があり、その Web サイトから Cobalt Strike がコンピュータにダウンロードされる可能性があります。さらに、Cobalt Strike は、疑いを持たないユーザーがこの脅威に感染した Web サイトにアクセスするドライブバイ ダウンロードによって拡散する可能性があります。 Cobalt Strike をコンピューターにインストールすると、金融機関からデータとお金を収集するために使用できます。
ハッカーが攻撃に Cobalt Strike を好んで使用するのはなぜですか?
ハッカーはさまざまな理由で Cobalt Strike を使用します。これは、ネットワークへのアクセス、分散型サービス妨害 (DDoS) 攻撃の開始、およびデータの流出を可能にする高度なツールです。また、ファイアウォールやセキュリティ ソフトウェアなどのセキュリティ対策をバイパスする機能もあります。さらに、フィッシング キャンペーンやその他のサイバー攻撃で使用できる有害なペイロードを作成するために使用される可能性があります。最後に、Cobalt Strike は比較的使いやすく、すぐに展開して攻撃を実行できます。
Cobalt Strike のような他のマルウェアはありますか?
はい、Cobalt Strike に似たマルウェアの脅威は他にもあります。これらには、 Emotet 、 Trickbot 、 Ryukなどがあります。 Emotet は、被害者から金融情報を収集するために使用されるバンキング型トロイの木馬です。 Trickbot は、データの引き出しやランサムウェア攻撃に使用できるモジュール式のバンキング型トロイの木馬です。 Ryuk はランサムウェアの一種で、世界中の組織に対するいくつかの注目を集めた攻撃に関連しています。これらの脅威はすべて、適切に対処しないと重大な損害を引き起こす可能性があります。
コバルトストライクによる感染症の症状
Cobalt Strike マルウェアに感染すると、コンピュータのパフォーマンスが低下する、予期しないポップアップ ウィンドウが表示される、奇妙なファイルやフォルダがコンピュータに表示されるなどの症状が現れます。さらに、ユーザーは、特定の Web サイトやアプリケーションへのアクセスが困難になったり、疑わしい添付ファイルを含む電子メールを受信したりする場合があります。ユーザーがこれらの症状のいずれかに気付いた場合は、すぐに IT 部門またはセキュリティ プロバイダーに連絡して、さらに調査する必要があります。
感染したマシンから Cobalt Strike 感染を検出して削除する方法
1. 更新されたマルウェア対策ソフトウェアでシステムの完全スキャンを実行します。これにより、Cobalt Strike マルウェアに関連する改ざんされたファイルが検出され、削除されます。
2. バックグラウンドで実行されている可能性のある疑わしいプロセスやサービスがないか、システムを確認します。見つけた場合は、すぐに終了してください。
3. コンピューター上の Cobalt Strike マルウェアによって作成された疑わしいファイルまたはフォルダーを削除します。
4. すべてのパスワード、特に金融口座やその他の機密情報に関連するパスワードを変更します。
5. オペレーティング システムとアプリケーションが、製造元の Web サイトから入手した最新のセキュリティ パッチと更新プログラムを適用して最新のものであることを確認します。
6. Cobalt Strike マルウェアのような将来の脅威からコンピュータを保護するために、信頼できるファイアウォールとマルウェア対策プログラムの使用を検討してください。
目次
分析レポート
一般情報
| Family Name: | Trojan.CobaltStrike |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
9044e9e97da86cd1b2a273192c57f1ad
SHA1:
7accdf3672025fef4f88ee062790c17d43f413a1
SHA256:
F5C7FACA5B5563E4740A6D2196ACFB3626ECBCD38DA4D690DC23E13E7ECF747C
ファイルサイズ:
19.46 KB, 19456 bytes
|
|
MD5:
2fa3fdb40946d857e18c8f85c6b6a70d
SHA1:
334cce2844b192707408baf3c1bd56bc644277d9
SHA256:
913395EF1B65C3A0E1FACD6DC823D66994046DDBD906CB12F7C8BA3E5FD5A62B
ファイルサイズ:
328.70 KB, 328704 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- HighEntropy
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 123 |
|---|---|
| Potentially Malicious Blocks: | 7 |
| Whitelisted Blocks: | 116 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Agent.DFCL
- Agent.UFSG
- Downloader.Agent.DRB
- Downloader.Agent.RCM
- Kryptik.FSM
Show More
- Trojan.Agent.Gen.ABZ
- Trojan.Agent.Gen.BN
- Trojan.Agent.Gen.SU
- Trojan.Kryptik.Gen.CKX
- Trojan.ShellcodeRunner.Gen.ET
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\msse-5891-server | Generic Write |
| \device\namedpipe\msse-817-server | Generic Write |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
|
