Rapid7 ist Opfer des Codecov Supply-Chain-Angriffs geworden
Inhaltsverzeichnis:
Ein großes Cybersicherheitsunternehmen Rapid7 gab bekannt, dass eine begrenzte Anzahl seiner Quellcoderepositories im Zuge des Codecov-Lieferkettenangriffs offengelegt wurden. Laut offizieller Aussage enthielten die kompromittierten Repos interne Anmeldedaten und alarmbezogene Daten für seine Managed Detection and Response (MDR) Kunden.
Codecov-Lieferkettenangriff
Am 15. April 2021, ein Software-Auditing-Unternehmen Codecov gab bekannt dass sein Bash Uploader-Skript von unbekannten Akteuren mit einem Hintertür versehen wurde. Dieses Skript kann den Code des Kunden untersuchen und auf alle Anmeldungen und Passwörter in diesem Code zugreifen. Infolgedessen erlaubten die bösartigen Modifikationen dieses Dienstprogramms Angreifern, Systeme innerhalb der Netzwerke der Codecov-Nutzer zu erreichen, einschließlich des Produktcodes, den die Unternehmen entwickeln und an andere weitergeben. Da Bash Uploader Daten auch außerhalb der Netzwerke der Kunden hochladen kann, bot es Hackern zudem eine einfache Möglichkeit, die gestohlenen Informationen zu exfiltrieren.
Die Kompromittierung ereignete sich zwischen Januar und April 2021 und ermöglichte es Angreifern, Authentifizierungstoken, Schlüssel, Anmeldedaten, Dienstkonten und andere vertrauliche Informationen von Kunden zu erreichen. Infolgedessen wurden Hunderte von Nutzern getroffen, deren Daten innerhalb von Benutzerumgebungen für kontinuierliche Integration (CI) entwertet wurden.
Rapid7 bestätigte dass es Opfer des Codecov-Angriffs geworden war. Insbesondere wurde das bösartige Bash Uploader-Dienstprogramm auf dem CI-Server des Unternehmens installiert, das vom Anbieter zur Entwicklung und zum Testen von Werkzeugen für MDR-Kunden genutzt wird. Obwohl die Eindringlinge den Produktcode selbst nicht ändern konnten, gelang es Hackern, auf eine kleine Menge von Quellcoderepositories zuzugreifen, die Anmeldedaten von Kunden und andere sensible Informationen enthalten. Alle Anmeldedaten wurden bereits geändert, um weiteren Missbrauch zu verhindern. Außerdem hat das Unternehmen alle betroffenen Nutzer kontaktiert, um sicherzustellen, dass sie geeignete Gegenmaßnahmen ergreifen.
Angriffserkennung
Um zu überprüfen, ob Ihre Organisation im Zuge des Rapid7-Einbruchs missbraucht wurde und um weiteren Schaden zu verhindern, können Sie eine Sigma-Regel aus der Community herunterladen, die bereits im Threat Detection Marketplace verfügbar ist.
https://tdm.socprime.com/tdm/info/ixdVuRZNbGLA/#sigma
Die Regel hat Übersetzungen in die folgenden Sprachen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne
MITRE ATT&CK:
Taktiken: Erste Zugang
Techniken: Kompromittierung der Lieferkette (T1195)
Erhalten Sie ein Abonnement für Threat Detection Marketplace, eine weltweit führende Content-as-a-Service (CaaS) Plattform, die qualifizierte SOC-Inhalte für 23 marktführende SIEM-, EDR- und NTDR-Technologien bietet, die hersteller- und werkzeugübergreifend sind. Unser Inhalt wird kontinuierlich mit zusätzlichen Bedrohungskontexten angereichert, verifiziert, auf Auswirkungen, Effizienz, Fehlalarme und andere betriebliche Überlegungen durch eine Reihe von Qualitätssicherungsaudits geprüft. Möchten Sie Ihre eigenen Detection-Inhalte erstellen? Treten Sie unserem Threat Bounty Programm bei!
