Microsoftはこのほど、「Stopping cybercriminals from abusing security tools - Microsoft On the Issues」において、サイバー犯罪者によるセキュリティツールの悪用を防止する取り組みについて伝えた。Microsoftデジタル犯罪ユニット(DCU: Microsoft Digital Crimes Unit)、Fortra、Health Information Sharing and Analysis Center (Health-ISAC)の共同でサイバー犯罪者によるCobalt Strikeの悪用を阻止すると発表した。

  • Stopping cybercriminals from abusing security tools - Microsoft On the Issues

    Stopping cybercriminals from abusing security tools - Microsoft On the Issues

Cobalt StrikeはFortraが提供するサイバー犯罪者の攻撃シミュレーションに使用される正規のエクスプロイテーションツール。このツールがサイバー犯罪者にクラックされ悪用されている。クラックされたCobalt Strikeに関連するランサムウェアファミリーは、世界19カ国以上の医療機関に影響を与えたとされ、68以上のランサムウェア攻撃に使われたと報告されている。

今回、2023年3月31日にニューヨーク東部地区連邦地方裁判所がMicrosoft、Fortra、Health-ISACに対しサイバー犯罪者が攻撃を行うために使うインフラを破壊することを認める裁判所命令を発したことが伝えられた。これにより、関連するISPやCERTと連携してインフラをオフラインにし、被害者と攻撃者との接続を効果的に遮断させることができると述べている。

この命令にはサイバー犯罪者によるCobalt Strikeの悪用も含まれているとされ、クラックされたCobalt Strikeのコピーを破壊することで違法コピーの収益化を大幅に妨げ、犯罪者に戦術の変更を強いることが可能だという。

  • Example of an attack flow by threat actor DEV-0243.

    Example of an attack flow by threat actor DEV-0243.

現在、中国、米国、ロシアを含む世界各地で悪意のあるインフラが検出されており、金銭的な動機を持つサイバー犯罪者に加え、ロシア、中国、ベトナム、イランなど政府の利益のために行動する犯罪者が、クラックされたCobalt Strikeのコピーを悪用していることが確認されている。

Microsoft、Fortra、Health-ISACは米国連邦調査局(FBI: Federal Bureau of Investigation)や欧州サイバー犯罪センター(EC3: European Cybercrime Centre)などと協力して、悪意のあるインフラやCobalt Strikeの悪用に取り組み、エコシステムのセキュリティを向上させるためにさらなるサイバー犯罪活動を阻止するための措置を講じていくと伝えている。