이번 주 사이버 보안 커뮤니티는 최상위 보안 업체 중 하나가 침해되었다는 소식에 충격을 받았습니다. 공격자들은 FireEye가 고객의 보안을 테스트하기 위해 사용하는 Red Team 도구에 관심을 갖고 정부 고객과 관련된 정보를 찾고 있었습니다. 조사가 진행 중이며 F.B.I. 사이버 부서가 관여하고 있습니다. 의심되는 해커에 대한 공식 정보는 보고되지 않았지만, The New York Times에 따르면, 관여된 F.B.I. 요원들은 러시아 관련 사건 조사를 전문으로 하고 있으므로, 주요 용의자가 누구인지에 대한 의문은 없습니다.
이 같은 잘 보호된 조직을 해커가 어떻게 성공적으로 침해했는지에 대한 세부사항과 조사 결과가 매우 흥미로울 것입니다. Florian Roth 는 그의 트위터 계정에 이렇게 게시했습니다: “FireEye 침해는 실제로 레드 팀 도구나 고객 데이터에 관한 것이 아닙니다. 이것은 주목받는 위협 그룹에 대한 기밀 데이터의 탈취 가능성에 관한 것입니다. 그들은 일부 액터에 대해 대부분의 국가의 정보 기구보다 더 많이 알고 있습니다.” 사실 그럴 수도 있습니다. 다른 위협 그룹에 대한 정보 데이터를 받으면서, 해커들은 자신의 행동을 위장하거나 ‘다른 사람의’ 도구를 효과적으로 사용할 수 있을 뿐만 아니라 심지어 “인프라를 하이재킹하거나” 자신들의 캠페인에 사용할 수도 있습니다.
FireEye는 도둑맞은 도구들이 사이버 공격에 사용될 것이라고 생각하여, 그들의 GitHub 계정에 대응 조치와 IOC를 공유했습니다. Snort, Yara, ClamAV, 그리고 HXIOC 규칙들이 게시되었고, 우리의 콘텐츠 팀은 변환 가능한 HXIOC 규칙들을 Sigma 포맷으로 변환하여 다양한 보안 플랫폼에 대한 규칙으로 번역할 수 있도록 했습니다. FireEye Red Team 도구의 가능한 남용을 탐지하기 위한 커뮤니티 규칙들은 Threat Detection Marketplace.
감사합니다 Sittikorn Sangrattanapitak, Emir Erdogan, 및 Osman Demir, 활발한 참가자들이었던 위협 바운티 프로그램에 참여하여 유출된 Red Team 도구를 탐지하기 위한 규칙을 게시하였습니다.
|
|
|
|
|
|
|
|
|
|
|
|
|
IMPACKET-OBFUSCATION WMIEXEC 또는 SMBEXEC 유틸리티 가능성 (cmdline 통해) |
|
api-ms-win-downloevel-shell32-l1-1-.dll 하이재킹 가능성 (이미지 로드 통해) |
