2023년7월29일자 보안뉴스에서 인용 ~

​

사이버보안 전문기업 에이아이스페라(AI Spera)의 분석에 따르면,

​

이번 랜섬웨어는 코발트 스트라이크(Cobalt Strike)와 C2 프레임워크 배포를 통한 피싱 공격으로부터 네트워크에 침투한 것으로 추정된다. 공격에 사용된 멀웨어를 실행하면 접속자의 파일을 암호화해 ‘CriticalBreachDetected.pdf’라는 PDF 랜섬 노트가 보이게 된다.

​

군 문서는 국가기밀에 준하는 민감정보이기 때문에 코발트 스트라이크와 C2 서버 악용을 통한 랜섬웨어의 심각성을 보여주는 사례로 볼 수 있다.

​

코발트 스트라이크(Cobalt Strike)란 원래 C2 서버를 구축하는 상용 모의해킹 도구다. 고유의 C2 서버를 구축할 수 있다는 특징 때문에 종종 랜섬웨어와 PC 감염 공격에 악용되기도 한다.

​

OSINT 사이버보안 검색엔진 크리미널 IP(Criminal IP)에서는 악용된 코발트 스트라이크에 감염된 IP 주소를 찾을 수 있고, 해당 IP 주소가 Critical 위험도로 판별된 상세 이유를 확인할 수 있다.

​

원본 출처 : 칠레 육군 문서 다크웹 유출의 원인, 코발트 스트라이크 랜섬웨어 (boannews.com)