主な調査結果
- 2026年2月初旬、Silent Push分析チームは、CountLoaderと独自のウォーターマークを持つCobalt Strikeペイロードを使用するランサムウェアアフィリエイトに関連するCobalt Strike Command and Control(C2)構成を検出しました。
- Check Point Researchのザ・ジェントルメン・ランサムウェア・アズ・ア・サービス(RaaS)に関するインシデント対応レポートを確認する際、公開報告の2.5ヶ月前に検出していたCobalt Strike IPアドレスを発見し、このインシデントをCountLoader研究で議論した同一のランサムウェア犯人に属するものと判定しました。
- 当社の将来の攻撃の指標®(IOFA)は、ランサムウェア犯人と高度な持続的脅威(APT)がよく活用するCobalt Strikeを伴う下流攻撃をブロックします。
- 2026年2月のブログと2026年3月のクライアントレポートで、RaaS関連のSystemBC botnetマルウェアファミリーの一部として10,000以上の感染したIPアドレスを特定したことを以前報告しました。
- APIまたはSTIX/TAXIIフィードを介してCobalt Strike IOFAフィードをファイアウォール、SIEM、またはEDRに直接統合することにより、自動ブロッキングを設定することで保護措置を講じることをすべての組織に強く促します。
エグゼクティブサマリー
Silent Pushは数年間、ランサムウェア脅威行為者を追跡してきました。2025年7月~8月の深掘り調査と報告に続き、「CountLoader」と名付けた新しいマルウェアローダーの発見を記録し、2025年9月18日に、「CountLoader:Silent Push、3つの異なるバージョンで提供される新しいマルウェアローダーを発見」というパブリックブログを公開し、当社の調査結果を共有しました。
当社の分析は、マルウェアインフラストラクチャと特定の脅威行為者の間の重要な交差点、すなわちCobalt Strikeウォーターマーク1473793097と1357776117の発見を強調しています。これらの一意のライセンス識別子は、Black Basta、LockBit、およびQilin攻撃への検証可能なリンクを持つランサムウェアアフィリエイトに活動を直接リンクするための技術的な「フィンガープリント」を提供します。
当社は、SystemBCとCobalt Strikeを含む侵入を強調するCheck Pointからのデジタルフォレンジクスとインシデント対応(DFIR)レポートに触発されました。これから、当社の研究チームは、以前のランサムウェアアフィリエイトの調査結果をザ・ジェントルメン・RaaSに関連付けることができました。
Cobalt StrikeはしばしばAPTとランサムウェア犯人によって使用されるため、当社のCobalt Strike IOFAフィードに関連するインフラストラクチャをブロックすることを組織に強く促します。
インシデント
Check Point DFIRレポートは、ザ・ジェントルメン・RaaSによる侵入と最終的なランサムウェア導入に関連するIPアドレス91.107.247[.]163でのCobalt Strike C2の使用を強調しています。
Cobalt Strike C2 IPは、2026年2月8日の当社レポートでIoFAとしてフラグが立てられました。
CountLoader分析で開発した同じ独自のCobalt Strike検出方法を使用してインジケータを発見しました。このランサムウェア侵入は、Black Basta、LockBit、およびQilinランサムウェアグループの一部である同一のランサムウェア犯人に高い信頼を持って属するものと判定できます。さらに、CheckpointのDFIRレポートで、同じ犯人もザ・ジェントルメン・ランサムウェアを活用していることを関連付けることができます。
当社の一意の検出方法論は、脅威行為者がランサムウェアグループ間をピボットする場合でも、追跡が継続されることを保証します。彼らが提供するブランドだけでなく、キーボードの背後にいる個人を識別することで、LockBit、Black Basta、Qilin、およびザ・ジェントルメンにわたる3年間の在任期間にわたり、このアフィリエイトの高い信頼トレイルを維持します。
過去のインシデント
当社のCountLoaderブログでは、観測されたCobalt Strikeウォーターマーク(および拡張として、当社が追跡しているCountLoaderキャンペーン)に関連する外部研究をBlackBasta、Qilin、およびLockBitランサムウェア活動に直接強調しています。追加の背景を提供するために、この脅威行為者の過去の痕跡を強調するいくつかの外部ソースを列挙しています(以下を参照):
- https://op-c.net/blog/sap-cve-2025-31324-qilin-breach/
- https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781
- https://unit42.paloaltonetworks.com/edr-bypass-extortion-attempt-thwarted/
- https://thedfirreport.com/2025/01/27/cobalt-strike-and-a-pair-of-socks-lead-to-lockbit-ransomware/
予防的サイバー防御を開始する
Silent Pushの予防的サイバー防御プラットフォームについてもっと学ぶことに興味がありますか?
当社のプラットフォーム専門家の一人と話し、Silent Pushがあなたのチームが脅威を周辺に到達する前に中和するのをどのようにサポートできるかを確認してください。
また、無料のコミュニティエディションを提供し、セキュリティプラクティショナーと研究者にSilent Pushプラットフォームとデータセットへの入門アクセスを提供しています。
RaaSの追跡を継続
当社の予防的サイバー防御と研究チームは、ザ・ジェントルメン、LockBit、Black Basta、およびQilinを含むRaaSグループ、ならびに2026年を通じてペンテスティング用のCobalt Strikeの悪用を追跡および報告し続けます。
このレポートの調査結果に関して共有する情報がある場合、協力の機会を歓迎します。
翻訳元: https://www.silentpush.com/blog/gentlemen-ransomware/
