Cette semaine, la communauté de la cybersécurité a été frappée par la nouvelle que l’une des principales entreprises de sécurité a été compromise par un groupe APT sophistiqué non nommé. Les adversaires étaient intéressés par les outils Red Team utilisés par FireEye pour tester la sécurité de leurs clients et cherchaient des informations liées aux clients gouvernementaux. Une enquête est en cours et la division cyber du FBI est impliquée. Bien qu’aucune information officielle sur les pirates présumés n’ait été rapportée, selon le New York Times, les agents du FBI impliqués sont spécialisés dans les enquêtes liées à la Russie, il n’y a donc aucun doute sur qui est le principal suspect.
Il sera très intéressant de connaître les détails et les résultats de cette enquête, car il n’est pas fréquent que des pirates parviennent à compromettre des organisations aussi bien protégées. Florian Roth a posté sur son compte Twitter: « La violation de FireEye ne concerne pas vraiment les outils de l’équipe rouge ou les données des clients. Il s’agit peut-être de données confidentielles volées sur des groupes de menaces de haut niveau. Je veux dire, ils en savent plus sur certains acteurs que la plupart des appareils de renseignement des États. » Et cela peut vraiment être le cas. Ayant reçu des données de renseignement sur d’autres groupes de menaces, les pirates pourront non seulement déguiser leurs actions ou utiliser efficacement les outils « d’autres personnes », mais même « détourner » l’infrastructure de quelqu’un d’autre ou l’utiliser pour leurs campagnes.
FireEye suppose que les outils volés seront utilisés dans des cyberattaques, c’est pourquoi ils ont partagé des contre-mesures et des IOCs sur leur compte GitHub. Les règles Snort, Yara, ClamAV et HXIOC ont été publiées, et notre équipe de contenu a converti les règles HXIOC convertibles au format Sigma afin qu’elles puissent être traduites en règles pour plusieurs plateformes de sécurité. Les règles communautaires pour détecter les abus possibles des outils de l’équipe rouge de FireEye sont disponibles sur Threat Detection Marketplace.
Merci à Sittikorn Sangrattanapitak, Emir Erdogan, et Osman Demir, participants actifs au Threat Bounty Program, qui ont publié leurs règles pour détecter les outils Red Team fuitées.
|
|
|
|
Dump de mémoire TitoSpecial (Voleur d’identifiants) (via file_event) |
|
|
Lancement du processus Userinit par Msbuild.exe (via cmdline) |
|
|
|
|
|
Outil Red Team de FireEye – Exécution suspecte de MSBUILDME de userinit.exe |
|
|
|
|
Outil Red Team de FireEye – Exécution suspecte de colorcpl.exe de G2JS |
|
|
Outil Red Team de FireEye – Modifié Impacket WMIEXEC (via cmdline) |
|
Processus fils de SearchProtocolHost inhabituel (via cmdline) |
|
Utilitaire WMIEXEC ou SMBEXEC IMPACKET-OBFUSCATION Possible (via cmdline) |
|
Possible détournement de packageIdentification.dll (via imageload) |
|
Possible détournement de chrome_frame_helper.dll (via imageload) |
|
Possible détournement de api-ms-win-downloevel-shell32-l1-1-.dll (via imageload) |
|
Possible détournement de anything.cpl ou anything.dll (via imageload) |
|
Outil Red Team de FireEye – Modifié Impacket SMBEXEC (via registry) |
|
Outil Red Team de FireEye – Modifié Impacket SMBEXEC (via cmdline) |
