今週、サイバーセキュリティコミュニティは、トップのセキュリティ企業の1つが 侵害を受けた というニュースに衝撃を受けました。敵対者は、FireEyeが顧客のセキュリティをテストするために使用するRed Teamのツールに興味を持ち、政府の顧客に関連する情報を探していました。調査は進行中であり、F.B.I.のサイバー部門が関与しています。疑わしいハッカーについて公的な情報は報告されていませんが、 The New York Timesによると、関与しているF.B.I.のエージェントたちはロシア関連の問題を調査する専門家であり、主な容疑者が誰であるかに疑問の余地はありません。
こうした厳重に保護された組織をハッカーが侵害することは滅多にないので、この調査の詳細と結果を知ることは非常に興味深いでしょう。 Florian Roth は自身の Twitterアカウントで投稿しました:「FireEyeの侵害は実際にはRed Teamツールや顧客データの問題ではありません。それは高プロファイルな脅威グループの可能性がある盗まれた機密データについてのものです。つまり、彼らはあるアクターについて多くの国の情報機関よりも多くを知っています。」このように考えられる理由はまさしくその通りです。他の脅威グループに関する情報を得ることによって、ハッカーは自分たちの行動を偽装したり、効果的に「他人の」ツールを使うことができるだけでなく、ハイジャックされた他人のインフラを利用して自分たちのキャンペーンに使用することもできるのです。
FireEyeは盗まれたツールがサイバー攻撃に利用されると考えているため、彼らの GitHubアカウントで対策とIOCを共有しました。Snort、Yara、ClamAV、HXIOCルールが公開され、コンテンツチームはコンバート可能なHXIOCルールをSigmaフォーマットに変換し、複数のセキュリティプラットフォーム向けのルールに変換可能にしました。FireEye Red Teamツールの潜在的な悪用を検出するためのコミュニティルールが Threat Detection Marketplace
で利用可能です。 Sittikorn Sangrattanapitak, 、Emir Erdogan、そして Osman Demirに感謝します。彼らは Threat Bounty Programのアクティブな参加者として、漏洩した Red Team ツールを検出するルールを公開しました。
|
|
|
|
|
|
|
|
|
|
|
|
|
IMPACKET-OBFUSCATION WMIEXECまたはSMBEXECユーティリティの可能性(via cmdline) |
|
api-ms-win-downloevel-shell32-l1-1-.dllのハイジャックの可能性(via imageload) |
