サイバーセキュリティ企業の FireEye は最近、社内でレッドチーム エンゲージメントに利用していた自社開発の攻撃的セキュリティツール(OST)が誤って外部に公開されていたことを公表しました。
これらのツールの中には、Cobalt Strike などの有名な攻撃フレームワークをベースにしているものもあると考えられます。FireEye が指定したカバレッジで使用されている命名規則からも、そのことは明らかです。
Cobalt Strike ビーコンは、レッドチームや攻撃者の間で一般的に使用されています。Cisco Talos は 2020 年に、Cobalt Strike フレームワークの広範なカバレッジについて詳細に説明する調査論文を発表しました。このカバレッジは現在も変わっておらず、FireEye 社のレッドチームビーコンやその他のアクティビティを確実に検出できると Cisco Talos は判断しました。
報告によれば、外部に公開されていたツールの中にゼロデイ脆弱性を標的とするものはないとのことです。
FireEye 社のブログでは、誤って公開されたツールに対する脆弱性を評価するための CVE リストが提供されています。これらの CVE の現在のカバレッジは以下のとおりです。
これらのツールとエクスプロイトされる脆弱性の多くは、既存のマルウェア対策製品で対応できると考えられます。
外国政府の支援を受けたハッカー集団がこれらのツールを狙う理由は現在のところ不明です。このタイプの攻撃者は、通常、被害者が所有する価値の高いデータを標的にします。
今回の情報開示の一環として、FireEye 社はシグニチャ/ルールのリポジトリもリリースしました。これらのルールは、さまざまな検出テクノロジーを通じて、公開された OST ツールの利用を検出できるように設計されています。
FireEye 社で最初に発生した侵害と攻撃者が標的としたその他のデータに関する詳細は公開されていません。
本稿は 2020 年 12 月 14 日に Talos Group のブログに投稿された「FireEye Breach Detection Guidance」の抄訳です。