Rapid7がCodecovサプライチェーン攻撃の被害に遭う

大手サイバーセキュリティ企業Rapid7は、Codecovサプライチェーン攻撃の過程で限られた数のソースコードレポジトリが公開されたことを発表しました。公式声明によると、妥協されたレポには、同社のManaged Detection and Response（MDR）クライアント向けの内部資格情報およびアラート関連のデータが含まれていました。

Codecovサプライチェーン攻撃

2021年4月15日、ソフトウェア監査会社Codecov は公開した Bash Uploaderスクリプトが未知のアクターによってバックドア化されていたことを。このスクリプトは顧客のコードを調査し、そのコード内のログインやパスワードにアクセスすることができます。したがって、このユーティリティに対する悪意のある改変により、敵対者はCodecovユーザーのネットワーク内のシステムにアクセスし、企業が開発し他者に提供している製品コードを含むことができました。さらに、Bash Uploaderは顧客のネットワーク外にデータをアップロードできるため、ハッカーに盗まれた情報を簡単に持ち出す方法を提供しました。

侵害は2021年1月から4月の間に発生し、敵対者が顧客に属する認証トークン、キー、ログイン情報、サービスアカウント、およびその他の機密情報にアクセスすることを可能にしました。その結果、何百人ものユーザーが影響を受け、ユーザーの継続的インテグレーション（CI）環境内のデータが信用を失いました。

Rapid7 は確認しました Codecov攻撃の被害を受けたことを。特に、悪意のあるBash Uploaderユーティリティが同社のCIサーバーにインストールされており、このサーバーはベンダーがMDR顧客向けにツールを開発およびテストするのに使用されます。侵入者が製品コード自体を改変することはできませんでしたが、ハッカーはクライアントのログイン情報やその他の機密情報を含むソースコードレポジトリの小さなセットにアクセスすることができました。すべての資格情報はすでに変更されており、さらなる悪用を防ぐためです。同社はまた、影響を受けたすべてのユーザーに連絡を取り、適切な緩和策を講じたことを確認しました。

攻撃の検出

Rapid7侵害の過程で企業が悪用されたかどうかを確認し、さらなる侵害を防ぐには、Threat Detection Marketplaceで既に利用可能なコミュニティSigmaルールをダウンロードできます。

https://tdm.socprime.com/tdm/info/ixdVuRZNbGLA/#sigma

このルールは以下の言語に翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye

EDR: SentinelOne

MITRE ATT&CK:

戦術: 初期アクセス

技法: サプライチェーンの妥協 (T1195)

世界をリードするContent-as-a-Service（CaaS）プラットフォームであるThreat Detection Marketplaceに加入し、23の市場をリードするSIEM、EDR、NTDR技術に合わせた有資格の、クロスベンダーおよびクロスツールSOCコンテンツを提供します。当社のコンテンツは、追加の脅威コンテキストで継続的に強化され、品質保証監査の一連のプロセスを通じて影響、効率、誤検出、その他の運用上の考慮事項が検証・確認されています。独自の検出コンテンツを作成したいですか？Threat Bounty Programに参加してください！

プラットフォームに移動 Threat Bountyに参加