Violazione di FireEye: Rilevamento del Toolkit del Red Team trapelato

[post-views]
Dicembre 10, 2020 · 5 min di lettura
Violazione di FireEye: Rilevamento del Toolkit del Red Team trapelato

Questa settimana la comunità della cybersecurity è stata colpita dalla notizia che una delle principali società di sicurezza è stata compromessa da un gruppo APT sofisticato e anonimo. Gli avversari erano interessati agli strumenti Red Team utilizzati da FireEye per testare la sicurezza dei loro clienti e cercavano informazioni correlate ai clienti governativi. Un’indagine è in corso e la Cyber Division dell’F.B.I. è coinvolta. Sebbene non siano state riportate informazioni ufficiali sugli hacker sospettati, secondo The New York Times, gli agenti dell’F.B.I. coinvolti sono specializzati nell’indagine di questioni legate alla Russia, quindi non c’è dubbio su chi sia il principale sospettato.

Sarà molto interessante conoscere i dettagli e i risultati di questa indagine poiché non è comune che gli hacker riescano a compromettere organizzazioni così ben protette. Florian Roth ha pubblicato nel suo account Twitter: “La breccia di FireEye non riguarda realmente gli strumenti del red team o i dati dei clienti. Si tratta di dati riservati, potenzialmente rubati, su gruppi di minacce di alto profilo. Voglio dire, sanno più su alcuni attori che la maggior parte degli apparati di intelligence degli stati.” E potrebbe realmente essere così. Ricevendo dati di intelligence su altri gruppi di minacce, gli hacker saranno in grado non solo di camuffare le loro azioni o utilizzare efficacemente gli strumenti “di altri”, ma anche di “dirottare” l’infrastruttura di qualcun altro o usarla per le loro campagne.

FireEye suppone che gli strumenti rubati saranno utilizzati in attacchi informatici, quindi hanno condiviso contromisure e IOC sul loro account GitHub. Le regole Snort, Yara, ClamAV e HXIOC sono state pubblicate, e il nostro team di contenuti ha convertito le regole HXIOC convertibili nel formato Sigma in modo che possano essere tradotte in regole per più piattaforme di sicurezza. Le regole della comunità per rilevare il possibile abuso degli strumenti del Red Team di FireEye sono disponibili su Threat Detection Marketplace.

Grazie a Sittikorn Sangrattanapitak, Emir Erdogan, e Osman Demir, partecipanti attivi nel Threat Bounty Program, che hanno pubblicato le loro regole per rilevare gli strumenti del Red Team trapelati.

Metodologia di abuso di errore di servizio (via registry_event)

Rilevazione dell’utility Sharpivot (via cmdline)

Esecuzione sospetta di colorcpl.exe (via cmdline)

Albero di processi sospetto (metodologia) (via cmdline)

Dump di memoria TitoSpecial (rubainformazioni) (via file_event)

Dirottamento tmas_wlmhook.dll (via imageload)

Avvio del processo Userinit da Msbuild.exe (via cmdline)

Rilevazione di dirottamento Wdscore.dll (via imageload)

Dirottamento X32BRIDGE.dll (via imageload)

Rilevazione degli strumenti del Red Team di FireEye

Processi figlio sospetti Werfault.exe

Strumento del Red Team di FireEye – Esecuzione sospetta di MSBUILDME userinit.exe

Strumento del Red Team di Fireeye – Caricamento sospetto di DLL (via ImageLoad)

Strumento del Red Team di Fireeye- Esecuzione di Dism in posizione sospetta

Strumento del Red Team di Fireeye – Processo genitore RegAsm

Strumento del Red Team di Fireye – Esecuzione sospetta di RUNDLL32 (via cmdline)

Strumento del Red Team di Fireeye – Processo genitore texttransform.exe

Possibile dirottamento tmas_wlmhook.dll (via imageload)

Possibile dirottamento ui.dll (via imageload)

Possibile dirottamento splash_screen.dll (via imageload)

Possibile dirottamento sidebar.dll (via imageload)

Possibile dirottamento ushata.dll (via imageload)

Strumento del Red Team di FireEye – G2JS Process Tree sospetto

Strumento del Red Team di FireEye – Esecuzione sospetta di G2JS colorcpl.exe

Possibile dirottamento fmtoptions.dll (via imageload)

Possibile dirottamento nflogger.dll (via imageload)

Possibile dirottamento Wdscore.dll (via imageload)

Possibile dirottamento X32BRIDGE.dll (via imageload)

Possibile dirottamento msi.dll (via imageload)

Strumento del Red Team di FireEye – Impacket WMIEXEC modificato (via cmdline)

PAX dism montaggio WIM (via cmdline)

Processo figlio insolito SearchProtocolHost (via cmdline)

Possibile utility LNK SMASHER (via cmdline)

Possibile utility IMPACKET-OBFUSCATION WMIEXEC o SMBEXEC (via cmdline)

Possibile dirottamento LIBVLC.dll (via imageload)

Possibile dirottamento mcutil.dll (via imageload)

Possibile dirottamento pt1.aym (via imageload)

Possibile dirottamento potplayer.dll (via imageload)

Possibile dirottamento pc2msupp.dll (via imageload)

Possibile dirottamento packageIdentification.dll (via imageload)

Strumento del Red Team di Fireeye – execavator.exe (via registry)

Possibile dirottamento hpcustpartui.dll (via imageload)

Possibile dirottamento goopdate (via imageload)

Possibile dirottamento elogger.dll (via imageload)

Possibile dirottamento dwmapi.dll (via imageload)

Possibile dirottamento dismcore.dll (via imageload)

Possibile dirottamento crshhndl.dll (via imageload)

Possibile dirottamento chrome_frame_helper.dll (via imageload)

Possibile dirottamento ccl110u.dll (via imageload)

Possibile dirottamento ashldres.dll (via imageload)

Possibile dirottamento api-ms-win-downloevel-shell32-l1-1-.dll (via imageload)

Possibile dirottamento anything.cpl o anything.dll (via imageload)

Strumento del Red Team di FireEye – Impacket SMBEXEC modificato (via registry)

Strumento del Red Team di FireEye – Impacket SMBEXEC modificato (via cmdline)

Processo figlio insolito installutil (via cmdline)

Possibile dirottamento cclib.dll (via imageload)

Possibile dirottamento mscorsvc.dll (via imageload)

Possibile abuso di MSBuild (via cmdline)

Attività del registro CLSID COM (via registry)

Elementi del Pannello di controllo (via cmdline)

Strumento del Red Team di Fireeye – execavator.exe (via cmdline)

Attività di rete DISM (via network)

Processo figlio insolito DISM (via cmdline)

Strumento del Red Team di FireEye – ADPASSHunt (via cmdline)




Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Blog, Piattaforma SOC Prime — 3 min di lettura
Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Steven Edwards
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Blog, Ultime Minacce — 6 min di lettura
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Veronika Telychko