Rapid7, Codecov 공급망 공격의 희생양이 되다
목차:
주요 사이버 보안 회사 Rapid7은 Codecov 공급망 공격의 과정에서 소스 코드 리포지토리의 일부가 노출되었다고 발표했습니다. 공식 성명에 따르면, 손상된 리포는 내부 인증 정보와 MDR(Managed Detection and Response) 고객을 위한 경고 관련 데이터를 포함하고 있었습니다.
Codecov 공급망 공격
2021년 4월 15일, 소프트웨어 감사 회사 Codecov은 발표했습니다. 그의 Bash Uploader 스크립트가 미확인 행위자에 의해 백도어가 설치되었다고 합니다. 이 스크립트는 고객의 코드를 조사하고 그 코드 내의 로그인 및 비밀번호에 접근할 수 있습니다. 따라서 이 유틸리티의 악의적인 수정은 적들이 Codecov 사용자의 네트워크 내부 시스템에 접근할 수 있게 만들어, 회사가 개발하고 다른 이들에게 배포하는 제품 코드를 포함하게 되었습니다. 더욱이, Bash Uploader는 고객의 네트워크 외부로 데이터를 업로드할 수 있기 때문에 해커들에게 훔친 정보를 유출할 수 있는 쉬운 방법을 제공했습니다.
이번 손상은 2021년 1월부터 4월 사이에 발생했으며, 적들이 인증 토큰, 키, 로그인 세부 정보, 서비스 계정 및 고객의 다른 기밀 정보에 접근할 수 있게 허용했습니다. 그 결과, 수백 명의 사용자가 그들의 데이터가 사용자 지속적 통합(CI) 환경 내에서 불신임을 받게 되었습니다.
Rapid7 확인했습니다. Codecov 공격의 희생자가 되었다고 합니다. 특히, 악성 Bash Uploader 유틸리티가 CI 서버에 설치되었으며, 이 서버는 MDR 고객을 위한 도구를 개발하고 테스트하는 데 활용됩니다. 침입자들은 제품 코드 자체를 수정할 수는 없었지만, 해커들은 고객의 로그인 세부 정보 및 기타 민감한 정보를 포함하는 소스 코드 리포지토리의 일부에 접근할 수 있었습니다. 모든 인증 정보는 이미 변경되어 추가 악용을 방지하고 있으며, 회사는 모든 영향을 받은 사용자에게 적절한 완화 조치를 취할 수 있도록 연락했습니다.
공격 탐지
귀하의 조직이 Rapid7 침해 과정에서 악용되었는지 확인하고 추가 손상을 방지하기 위해 Threat Detection Marketplace에 이미 사용 가능한 커뮤니티 Sigma 규칙을 다운로드할 수 있습니다.
https://tdm.socprime.com/tdm/info/ixdVuRZNbGLA/#sigma
규칙은 다음 언어로 번역됩니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne
MITRE ATT&CK:
戦術: 초기 액세스
기술: 공급망 손상(T1195)
구독하십시오 Threat Detection Marketplace, 23개 주요 SIEM, EDR 및 NTDR 기술에 맞게 조정된 자격 있는, 벤더 간 및 툴 간 SOC 콘텐츠를 제공하는 세계적인 Content-as-a-Service(CaaS) 플랫폼. 우리의 콘텐츠는 추가 위협 컨텍스트로 지속적으로 풍부해지며, 품질 보증 감사 시리즈를 통해 영향, 효율성, 잘못된 긍정, 및 기타 운영 고려 사항을 확인하고 있습니다. 자체 탐지 콘텐츠를 만들고 싶습니까? Threat Bounty 프로그램에 참여하세요!
