Esta semana, a comunidade de cibersegurança foi atingida pela notícia de que uma das principais empresas de segurança foi comprometida por um grupo APT sofisticado não identificado. Os adversários estavam interessados em ferramentas de Red Team usadas pela FireEye para testar a segurança de seus clientes e procuravam informações relacionadas a clientes governamentais. Uma investigação está em andamento e a Divisão de Cibersegurança do F.B.I. está envolvida. Embora nenhuma informação oficial sobre os supostos hackers tenha sido relatada, segundo The New York Times, os agentes do F.B.I. envolvidos são especializados em investigar questões relacionadas à Rússia, então não há dúvida sobre quem é o principal suspeito.
Será muito interessante conhecer os detalhes e resultados desta investigação, já que não é comum que hackers consigam comprometer organizações tão bem protegidas. Florian Roth postou em sua conta do Twitter: “A violação da FireEye não se trata realmente de ferramentas de red team ou dados de clientes. É sobre dados confidenciais possivelmente roubados sobre grupos de ameaças de alto perfil. Quero dizer, eles sabem mais sobre alguns atores do que a maioria dos aparelhos de inteligência dos estados.” E pode realmente ser assim. Tendo recebido dados de inteligência sobre outros grupos de ameaças, os hackers poderão não apenas disfarçar suas ações ou usar com eficácia ferramentas “de outras pessoas”, mas até mesmo “sequestrar” a infraestrutura de outra pessoa ou usá-la para suas campanhas.
A FireEye supõe que as ferramentas roubadas serão usadas em ciberataques, então compartilharam medidas de contramedida e IOCs em seu conta do GitHub. Regras Snort, Yara, ClamAV e HXIOC foram publicadas, e nossa equipe de conteúdo converteu as regras HXIOC convertíveis em formato Sigma para que possam ser traduzidas para as regras de múltiplas plataformas de segurança. Regras comunitárias para detectar possível abuso das ferramentas de Red Team da FireEye estão disponíveis no Threat Detection Marketplace.
Obrigado a Sittikorn Sangrattanapitak, Emir Erdogan, e Osman Demir, participantes ativos no Threat Bounty Program, que publicaram suas regras para detectar as ferramentas vazadas do Red Team .
|
Metodologia de Abuso de Falha de Serviço (via registry_event) |
|
|
|
|
|
TitoSpecial Memory Dump (Roubador de Credenciais) (via file_event) |
|
|
Lançamento de Processo Userinit por Msbuild.exe (via cmdline) |
|
|
|
|
|
Ferramenta de Red Team da FireEye – Execução Suspeita de MSBUILDME de userinit.exe |
|
|
|
|
Ferramenta de Red Team da FireEye – Árvore de Processos Suspeita de G2JS |
|
|
Ferramenta de Red Team da FireEye – Execução Suspeita de G2JS de colorcpl.exe |
|
|
Ferramenta de Red Team da FireEye – Impacket Modificado WMIEXEC (via cmdline) |
|
Possível Utilitário IMPACKET-OBFUSCATION WMIEXEC ou SMBEXEC (via cmdline) |
|
Possível Hijack de packageIdentification.dll (via imageload) |
|
Ferramenta de Red Team da Fireeye – execavator.exe (via registro) |
|
Possível hijack de api-ms-win-downloevel-shell32-l1-1-.dll (via imageload) |
|
Possível hijack de anything.cpl ou anything.dll (via imageload) |
|
Ferramenta de Red Team da FireEye – Impacket SMBEXEC Modificado (via registro) |
|
Ferramenta de Red Team da FireEye – Impacket SMBEXEC Modificado (via cmdline) |
|
Ferramenta de Red Team da Fireeye – execavator.exe (via cmdline) |
|
Ferramenta de Red Team da FireEye – ADPASSHunt (via cmdline) |
