Tras el robo de herramientas ofensivas de Mandiant / FireEye por parte de un grupo de ciberdelincuentes, posiblemente financiados desde un estado-, nos gustaría asegurar a todos los clientes de Sophos, que nuestros productos, contienen numerosas protecciones contra posibles ataques futuros que puedan aprovechar las herramientas robadas.
A principios de esta semana, Mandiant / FireEye reveló que un adversario altamente sofisticado, posiblmente patrocinado por un país, robó las herramientas de seguridad ofensivas del FireEye Red Team.
El uso, en general, de herramientas de seguridad ofensivas es una práctica común en la industria de la ciberseguridad, nosotros mismos las usamos para poner a prueba nuestra protección contra ciberataques simulados.
Tras este incidente, FireEye publicó una serie de contramedidas, pues dichas herramientas no son públicas y aún no están disponibles. No obstante, la industria de la seguridad pudo utilizar la información publicada por FireEye para recopilar IOC para la inclusión en diferentes sistemas de seguridad, tal y como Sophos ha hecho tanto en sus sistemas endpoint como de protección de red.
Verificando el estado de detección en las muestras de ataques disponibles, los resultados iniciales muestran que la inmensa mayoría ya fueron detectadas por las definiciones de anti-malware de Sophos existentes. Aún así, hemos realizado más actualizaciones de detección desde la divulgación y estamos en el proceso de localizar y verificar la detección de cualquier otro componente que pueda ser relevante.
Los principales nombres de detección de Sophos asociados con estas herramientas son:
- Mal / Swrort-AE, -L
- Troj / Rubeus- *
- BloodHoundAD (PUA)
- Troj / Seatbelt-A
- Mal / Zafkat-A
- ATK / Cobalt-A, -B, -V, -G
- Exp / 20201472-A
- Troj / PrivEsc- *
- ATK / PrivEsc- *
- Troj / DocDl-ABQE
- Troj / Agent-BGFM
- ATK / Tlaboc-F
- Exp / 20132465-A
- Harmony Loader (Hacktool)
- Troj / Agent-AYZU
- Troj / AutoG-ID
El núcleo del conjunto de herramientas robado se centra en las técnicas post-explotación. Según FireEye, los componentes robados no contenían exploits día cero. Las organizaciones que aplican regularmente parches de seguridad están bien preparadas contra el posible abuso de estas herramientas.
Por otro lado, se han añaido nuevas firmas IPS en los dispositivos Sophos XG Firewall y Sophos UTM. Cabe destacar que para el nuevo IPS de Endpoint y Server también se ha publicado firmas al respecto. Con todo esto, podemos confirmar la sólida cobertura ante estas herramientas robadas.. Las firmas IPS, en su detalle, son:
| CVE | IPS Sid (Firewalls Sophos XG) |
| CVE-2019-0708 | 1190514210 |
| CVE-2017-11774 | 8422 |
| CVE-2018-15961 | 2300872, 1181116050 |
| CVE-2019-19781 | 2301366, 52620, 2301639, 2303158 |
| CVE-2019-3398 | 50169, 50170, 50168 |
| CVE-2019-11580 | En proceso de lanzamiento |
| CVE-2018-13379 | 2301565, 51371, 51372, 2300726 |
| CVE-2020-0688 | 2302419, 2302422 |
| CVE-2019-11510 | 1190822080 |
| CVE-2019-0604 | 55862, 49861 |
| CVE-2020-10189 | 2302318, 2302321, 2302322, 53434, 2302053, 2302054 |
| CVE-2019-8394 | En proceso de lanzamiento |
| CVE-2016-0167 | 38491, 38765 |
| CVE-2020-1472 | 56290, 1200811220, 2304011, 2304013, 2304014, 2304015, 2304016, 2304017, 55802, 55704, 55703, 2303764, 2303765, 2303768, 2303769 |
| CVE-2018-8581 | 1000550 |
Si tienes alguna duda sobre el uso potencial de estas herramientas en futuros escenarios de ataques reales, póngase en contacto con su representante de Sophos.
Mientras tanto, recomendamos a todos los clientes que utilicen este incidente como un aviso para verificar que sus parches de seguridad estén completamente actualizados.
Como miembro activo de Cyber Threat Alliance, Sophos se compromete a trabajar de forma conjunta con la industria de la ciberseguridad para combatir el ciberdelito. Felicitamos a FireEye por su divulgación y nos hemos comunicado con su equipo de seguridad para compartir más información sobre los conjuntos de herramientas.
Dejar un comentario