ソフォスのお客様はご安心ください – Mandiant/FireEye ツールのハッキングについて

CorporateCVECyber Threat AllianceFireEyeマルウェア

Mandiant/FireEyeは今週初め、FireEye Red Team が用いる攻撃的セキュリティツールが、国家の支援を受けた極めて高度な攻撃者によって窃取されたことを明らかにしました。

攻撃的なセキュリティツールを使用することは、サイバーセキュリティ業界では一般的です。ソフォスにおいても、サイバー攻撃シミュレーションに対する防御をストレステストする際に使用しています。

今回のハッキングを受けて FireEye は、対策ルールを公開しました。実際のツールは一般には公開されておらず、現在もテストに利用することはできません。にもかかわらず、セキュリティ業界は、FireEye が公開した情報に基づいて、公開されている他のソースから関連性のある IOC を収集することが可能でした。

入手可能だった攻撃サンプルの検出状態を検証したところ、圧倒的多数がソフォスの既存のアンチマルウェア定義によってすでに検出されていたことが分りました。

ソフォスでは、FireEye による情報開示後も検出の更新を継続しており、関連する可能性のあるその他のコンポーネントの検出を特定・検証している最中です。

以下に、盗まれたツールに関連する主要なソフォスの検出名を列記します。

  • Mal/Swrort-AE,-L
  • Troj/Rubeus-*
  • BloodHoundAD (PUA)
  • Troj/Seatbelt-A
  • Mal/Zafkat-A
  • ATK/Cobalt-A,-B,-V,-G
  • Exp/20201472-A
  • Troj/PrivEsc-*
  • ATK/PrivEsc-*
  • Troj/DocDl-ABQE
  • Troj/Agent-BGFM
  • ATK/Tlaboc-F
  • Exp/20132465-A
  • Harmony Loader (Hacktool)
  • Troj/Agent-AYZU
  • Troj/AutoG-ID

盗まれたツールセットの主要部は、攻撃後の手法 (手順) に関するものでした。FireEye によると、盗まれたコンポーネントにはゼロデイエクスプロイトは含まれていません。保護対象領域全体にセキュリティパッチを定期的に適用している企業組織は、これらのツールの悪用に対抗する準備が十分に整った状態になっています。

FireEye の「対策」ファイルに記載されている脆弱性を、Sophos XG Firewall と Sophos UTM で使用されているソフォスの IPS シグネチャデータベースと照合したところ、既存のシグネチャセットで強力にカバーできていることが確認されました。エンドポイント保護に関連するシグネチャの一部は、エンドポイント IPS でも利用可能です。

CVE IPS Sid (Sophos XG Firewall)
CVE-2019-0708 1190514210
CVE-2017-11774 8422
CVE-2018-15961 2300872、1181116050
CVE-2019-19781 2301366、52620、2301639、2303158
CVE-2019-3398 50169、50170、50168
CVE-2019-11580 リリース予定
CVE-2018-13379 2301565、51371、51372、2300726
CVE-2020-0688 2302419、2302422
CVE-2019-11510 1190822080
CVE-2019-0604 55862、49861
CVE-2020-10189 2302318、2302321、2302322、53434、2302053、2302054
CVE-2019-8394 リリース予定
CVE-2016-0167 38491、38765
CVE-2020-1472 56290、1200811220、2304011、2304013、2304014、2304015、2304016、2304017、55802、55704、55703、2303764、2303765、2303768、2303769
CVE-2018-8581 1000550

 

今後実際の攻撃でこれらのツールが使用される危険性について心配な方は、ソフォスの担当者にお問い合わせください。

また、すべてのお客様には、今回のインシデントをきっかけにして、セキュリティパッチがすべて最新の状態になっているかどうかを確認することをお勧めします。

ソフォスは、Cyber Threat Alliance に積極的に参加しているメンバー (英語) として、サイバーセキュリティ業界と連携し、サイバー犯罪と闘うことをお約束します。ソフォスは、情報開示した FireEye に称賛を送るとともに、同社のセキュリティチームに連絡を取り、当該のツールセットに関する詳細な情報を共有しています。

Leave a Reply

Your email address will not be published.