ในช่วงระหว่างปลายเดือนกุมพาพันธ์ที่ผ่านมา กรณีการโจมตี SolarWinds มีความเคลื่อนไหวหลายประกาศ ซึ่งทีม Intelligent Response ขอสรุปสถานการณ์ และความเคลื่อนไหวดังกล่าวให้รับทราบดังนี้

1.NASA และ FAA ร่วมวงผู้ได้รับผลกระทบ

องค์การบริการการบินและอวกาศแห่งชาติหรือ NASA และองค์การบริหารการบินแห่งสหรัฐอเมริกา (FAA) ออกมายืนยันว่าทางองค์กรได้รับผลกระทบจากการโจมตีซึ่งเกี่ยวข้องกับกรณีการโจมตี SolarWinds ในลักษณะ Supply-chain attack ไม่มีการเปิดเผยผลกระทบและความรุนแรง อย่างไรก็ตามทั้งสององค์กรได้ออกมายืนยันว่าได้มีการดำเนินการตามความเหมาะสมเพื่อจัดการกับสถานการณ์แล้ว

ที่มา: bleepingcomputer

2.ไมโครซอฟต์ปล่อยชุดคิวรี่ CodeQL ในการใช้ค้นหา IOC ในระดับโค้ด

ไมโครซอฟต์มีการเผยแพร่คิวรี่สำหรับเฟรมเวิร์ค CodeQL เพื่อใช้ในการหา IOC ที่เกี่ยวข้องกับมัลแวร์ SUNBURST ในระดับโค้ด ตัวอย่างเช่น โค้ดส่วนที่ใช้ในการฝังตัว (implant), โค้ดฟังก์ชันแฮชที่ใช้ในการเก็บข้อมูลโปรเซส รวมไปถึงส่วนโค้ดที่ใช้ในการติดต่อการ C&C โดยปัจจุบันโค้ดได้ถูก Merge เข้าไปในการ Repository กลางของ CodeQL แล้ว และสามารถเข้าดูได้ที่ github

ที่มา: microsoft

3.1อัปเดตข้อมูลจากการให้ข้อมูลกับคณะกรรมการข่าวกรอง โดย Microsoft, FireEye, CrowdStrike และ SolarWinds

ฝั่งไมโครซอฟต์มีการร้องขอให้ทางภาครัฐฯ สนับสนุนหรือบังคับให้ภาคเอกชนจำเป็นต้องมีการแบ่งปันข้อมูลที่ดีกว่านี้เมื่อมีการโจมตีเกิดขึ้น
FireEye ระบุความเกี่ยวข้องกับการโจมตีว่า วิธีการโจมตีที่ตรวจพบนั้นมีความสอดคล้องกับพฤติกรรมในปฏิบัติการทางไซเบอร์รัสเซียมากที่สุด ทางทำเนียบขาวตอบรับในข้อเท็จจริงและกำลังหาวิธีการที่เหมาะสมในการเรียกร้องความรับผิดชอบจากรัสเซีย
CrowdStrike เน้นไปที่ปัญหาในระบบของ Windows และวิธีการที่ล้าหลังในการพิสูจน์ตัวตนรวมไปถึงโซลูชันด้านความปลอดภัยที่ไม่มีประสิทธิภาพให้เป็นส่วนหนึ่งของปัญหาเช่นเดียวกัน
ที่มา: theregister

3.2อัปเดตข้อมูลจากการให้ข้อมูลกับวุฒิสภา โดย Microsoft, FireEye, CrowdStrike และ SolarWinds

SolarWinds ให้ข้อมูลรหัสผ่าน solarwinds123 ที่เกี่ยวข้องกับระบบ File server ของ SolarWinds นั้นเกิดจากเด็กฝึกงานเป็นผู้กำหนดขึ้นมา ทั้งนี้ปัญหาก็ได้รับการจัดการทันทีที่รับทราบ
ไมโครซอฟต์ระบุว่าไม่พบหลักฐานว่ากระทรวงกลาโหมถูกโจมตี
FireEye ระบุว่าผลกระทบที่แท้จริงจากการโจมตีนั้นยังคงถูกประเมินได้ยาก และในขณะเดียวกันการระบุข้อมูลใดที่ถูกขโมยออกไปบ้างก็เป็นไปได้ยากที่จะระบุได้เช่นเดียวกัน
ที่มา: cnn

FireEye Mandiant ออกรายงานล่าสุดถึงความเคลื่อนไหวของกลุ่มแฮกเกอร์อย่างน้อย 2-3 กลุ่มที่มีพฤติกรรมเชื่อมโยงกัน โดยกลุ่มแฮกเกอร์ดังกล่าวกำลังทำการโจมตีช่องโหว่ Zero-day ใน ซอฟต์แวร์ Accellion FTA เพื่อเข้าไปขโมยข้อมูล บางส่วนถูกนำมาใช้เรียกค่าไถ่

Accellion FTA เป็นซอฟต์แวร์สำหรับจัดการไฟล์ในองค์กร อ้างอิงจากประกาศของ Accellion ผลิตภัณฑ์ FTA ถูกตรวจพบว่ามีช่องโหว่ตั้งแต่ในช่วงกลางเดือนธันวาคม โดยในปัจจุบันช่องโหว่ที่ได้รับการยืนยันแล้วมีตามรายการดังนี้

CVE-2021-27101: ช่องโหว่ SQL injection ใน Host header
CVE-2021-27102: ช่องโหว่ OS command execution ผ่านทางเว็บเซอร์วิส
CVE-2021-27103: ช่องโหว่ SSRF ผ่านทาง POST request แบบพิเศษ
CVE-2021-27104: ช่องโหว่ OS command execution ผ่านทาง POST request แบบพิเศษ
จากรายงานของ FireEye Mandiant กลุ่มผู้โจมตีที่เกี่ยวข้องกับการโจมตีในครั้งนี้มีอยู่ 2 กลุ่ม โดยในกลุ่มแรกนั้นถูกระบุด้วยรหัส UNC2546 ซึ่งมีพฤติกรรมในการโจมตีช่องโหว่, ฝัง Web shell และขโมยข้อมูลออกไป และกลุ่ม UNC2582 ซึ่งมีการนำข้อมูลที่ได้จากการโจมตีมาเรียกค่าไถ่ผ่านทางหน้าเว็บไซต์ของ Clop ransomware

ทั้งกลุ่ม UNC2546 และ UNC2582 ถูกเชื่อมโยงเข้ากับพฤติกรรมของกลุ่ม FIN11 และกลุ่ม Clop ransonware ด้วยพฤติกรรมการโจมตีหลายอย่างที่เหมือนกัน

อ้างอิงจากข่าวเก่าที่ทางไอ-ซีเคียวได้มีการนำเสนอไปเมื่อวันที่ 16 กุมภาพันธ์ Singtel คือหนึ่งในเหยื่อที่ถูกโจมตีในครั้งนี้ facebook

เราขอแนะนำให้ทำการตรวจสอบการมีอยู่ของซอฟต์แวร์และแอปที่มีช่องโหว่ ปรับใช้ข้อมูลตัวบ่งชี้ภัยคุกคามอย่างเหมาะสม และเฝ้าระวังระบบอย่างใกล้ชิด

ดูข้อมูลเพิ่มเติม: fireeye
IOC เพิ่มเติม: twitter

ที่มา: securityweek, wsj, threatpost, zdnet, bleepingcomputer

ไมโครซอฟต์ประกาศการสิ้นสุดการตรวจสอบภายในกรณีการโจมตี SolarWinds และซอฟต์แวร์ SolarWinds Orion เพื่อแพร่กระจายมัลแวร์และบุกรุกเข้าองค์กรต่าง ๆ เมื่อกลางสัปดาห์ที่ผ่านมา พร้อมกับเผยแพร่ Final update หรือการอัปเดตฉบับสุดท้ายที่เป็นผลลัพธ์จากการตรวจสอบครั้งนี้

ทีมตอบสนองการโจมตีและภัยคุกคามจากไอ-ซีเคียว ขอสรุปสาระสำคัญในรายงานของไมโครซอฟต์ไว้ดังนี้

ไมโครซอฟต์พบพฤติกรรมผิดปกติตั้งแต่เดือนธันวาคม ช่วงเดียวกับที่ FireEye ออกมาประกาศการตรวจพบการโจมตี การตรวจสอบไม่พบหลักฐานซึ่งบ่งชี้ว่าระบบของไมโครซอฟต์ที่ได้รับผลกระทบจากการโจมตีนั้นถูกนำไปใช้ในการโจมตีระบบอื่น
ไมโครซอฟต์พบว่าผู้โจมตีมีการเข้าถึงและอ่านไฟล์ที่อยู่ในโครงการพัฒนาซอฟต์แวร์ภายใน และได้ดำเนินการกับบัญชีที่ถูกใช้เพื่อเข้าถึงซอร์สโค้ดดังกล่าวทันที
แม้จะมีการเข้าถึงโครงการพัฒนาซอฟต์แวร์ แต่โครงการพัฒนาซอฟต์แวร์ที่ได้รับผลกระทบนั้นถือเป็นแค่โครงการบางส่วนของผลิตภัณฑ์หรือบริการที่ไมโครซอฟต์ให้บริการ ไม่มีลักษณะการเข้าถึงโครงการพัฒนาซอฟต์แวร์เป็นจำนวนมาก และลักษณะการเข้าถึงโครงการซอฟต์แวร์ที่ได้รับผลกระทบนั้นก็เกิดขึ้นในลักษณะที่จำกัด เช่น เป็นผลลัพธ์จากการเสิร์ชคีย์เวิร์ดที่เกี่ยวข้อง secret ในซอร์สโค้ดแล้วเข้าดูเพียงบางไฟล์
หลังจากเข้าถึงแล้ว ผู้โจมตีมีการดาวน์โหลดซอร์สโค้ดบางส่วนออกไป ซึ่งผลิตภัณฑ์ที่ได้รับผลกระทบนั้นได้แก่โครงการบางส่วนของ Azure, Intune และ Exchange ซึ่งล้วนแล้วแต่เป็นส่วนน้อยของซอร์สโค้ดทั้งหมด
ด้วยมาตรการรักษาความปลอดภัยปัจจุบัน ผู้โจมตีไม่สามารถที่จะเข้าถึงข้อมูลสำหรับการยืนยันตัวตนของบัญชีที่มีสิทธิ์สูงในระบบ หรือมีการใช้เทคนิคที่เกี่ยวข้องกับ SAML กับโดเมนของไมโครซอฟต์ได้

ที่มา: msrc-blog

Symantec ประกาศการค้นพบมัลแวร์ตัวที่ 4 ซึ่งเกี่ยวข้องกับ TEARDROP โดยมัลแวร์ตัวที่ 4 นั้นถูกเรียกว่า RAINDROP โดยมีจุดประสงค์ในการโหลดโค้ดมัลแวร์อื่น ๆ มาใช้งานในระบบที่ถูกโจมตีและยึดครองแล้ว
FireEye ออกรายงาน Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 ซึ่งอธิบายสรุปพฤติกรรมของผู้โจมตีและแนวทางในการเพิ่มความปลอดภัยให้กับ Microsoft 365 อ้างอิงจากพฤติกรรมของผู้โจมตีเพิ่มเติม รวมไปถึงชุดสคริปต์ Mandiant Azure AD Investigator สำหรับการตรวจสอบตามรายงานด้วย
Microsoft 365 Defender Research Team ออกรายงานการวิเคราะห์ส่วนการโจมตีที่สองซึ่งเป็นพฤติกรรมในช่วงที่ผู้โจมตีเข้าถึงระบบเป้าหมายผ่านมัลแวร์ SUNBURST และส่วนที่มีการติดตั้งมัลแวร์ TEARDROP, RAINDROP และมัลแวร์อื่น ๆ เพื่อใช้ทำ Lateral movement อ่านข้อมูลเพิ่มเติมในส่วนนี้ได้ที่ส่วน Attack Techniques
US-CERT ออกรายงาน Malware Analysis Report รหัส AR21-027A ซึ่งเป็นรายละเอียดเกี่ยวกับมัลแวร์ SUPERNOVA
CheckPoint ออกรายงานการจำลองพฤติกรรมของผู้โจมตีในส่วนของการ Lateral movement จากระบบแบบ On-premise ไปยังระบบคลาวด์ Microsoft 365
ตกเป็นเป้าหมาย+เหยื่อใหม่: MalwareBytes, Qualys, Mimecast, Fidelis, Texas IT และอีกกว่า 32% จาก 2,000 โดเมน C&C ในกลุ่มอุตสาหกรรม

อ่านเพิ่มเติม: i-secure

Kirk Sayre นักวิจัยด้านความปลอดภัยได้เปิดเผยถึงการค้นพบแคมเปญฟิชชิ่งที่ใช้คำสั่ง Finger เพื่อดาวน์โหลดและติดตั้งมัลแวร์ MineBridge บนอุปกรณ์ของผู้ที่ตกเป็นเหยื่อ

คำสั่ง "Finger" เป็นยูทิลิตี้ที่ช่วยให้ผู้ใช้สามารถเรียกดูรายชื่อและข้อมูลเกี่ยวกับผู้ใช้ได้จากระยะไกล ซึ่งในเดือนกันยายน 2020 ทีผ่านมา ได้มีนักวิจัยด้านความปลอดภัยออกรายงานถึงการค้นพบวิธีใช้ Finger เป็น Living-off-the-Land binaries (LOLBINS) เพื่อดาวน์โหลดมัลแวร์จากคอมพิวเตอร์ระยะไกล

FireEye ได้ออกรายงานเกี่ยวกับมัลแวร์ MineBridge หลังจากพบแคมเปญฟิชชิ่งจำนวนมากที่กำหนดเป้าหมายไปยังองค์กรในเกาหลีใต้ โดยใช้อีเมลฟิชชิ่งที่มีเอกสาร Word ที่เป็นอันตรายและมีเนื้อหาเป็นประวัติย่อของผู้สมัครงาน เมื่อเหยื่อคลิกที่ปุ่ม "Enabled Editing" หรือ "Enable Content" โค้ดมาโครที่อยู่ภายในเอกสารที่เป็นอันตรายจะทำงาน และจะมีการใช้คำสั่ง Finger เพื่อดาวน์โหลด Certificate ที่เข้ารหัส Base64 จากเซิร์ฟเวอร์ระยะไกลของผู้ประสงค์ร้าย จากนั้น Certificate ที่ถูกดาวน์โหลดจะถูกถอดรหัสและจะถูกเรียกใช้เพื่อดาวน์โหลดมัลแวร์ MineBridge และ DLL ที่เป็นอันตรายของ MineBridge บนเครื่องของผู้ที่ตกเป็นเหยื่อ

ทั้งนี้เพื่อเป็นการป้องกันการตกเป็นเหยื่อ ผู้ใช้ควรระมัดระวังในการเปิดเอกสารที่แนบมากับอีเมล หรือคลิกลิงก์ในอีเมลจากผู้ส่งที่ไม่รู้จัก

ที่มา: bleepingcomputer

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

FireEye ประกาศการค้นพบแคมเปญการโจมตีทั่้วโลกโดยกลุ่มแฮกเกอร์ซึ่งถูกติดตามในชื่อ UNC2452 ผ่านการฝังแบ็คดอร์ไว้ในไฟล์อัปเดตของซอฟต์แวร์ SolarWinds Orion เพื่อใช้ในการแพร่กระจายมัลแวร์ชื่อ SUNBRUST การตรวจสอบพบว่าพฤติกรรมและเทคนิคการโจมตีดังกล่าวจะเกี่ยวข้องกับสถานการณ์การรั่วไหลข้อมูลและเครื่องมือทำ Red team assessement ของทาง FireEye เอง

ในขณะนี้องค์กรซึ่งถูกยืนยันว่าถูกโจมตีแล้ว ได้แก่กระทรวงการคลังสหรัฐฯ, National Telecommunications and Information Administration หรือ NTIA ซึ่งเป็นหน่วยงานภายใต้กระทรวงพาณิชย์สหรัฐฯ และ FireEye ด้วย ทั้งนี้ FireEye เชื่อว่าเหยื่อในการโจมตีอาจมีมากกว่าที่ตรวจพบและอาจมีอยู่ทั่วโลก ทุกลักษณะธุรกิจและองค์กร

แหล่งข่าวมีการให้ข้อมูลกับ Washington Post ว่าการโจมตีดังกล่าวมีลักษณะเชื่อมโยงไปยังกลุ่ม APT29 ซึ่งเป็นกลุ่ม APT ที่เกี่ยวกับกับรัฐบาลรัสเซีย ทั้งนี้ FireEye ไม่ได้มีการยืนยันข้อเท็จจริงในส่วนนี้

ทีม Intelligent Response ขอสรุปรายละเอียด เทคนิคและพฤติกรรมการโจมตีตามรายการดังต่อไปนี้

รูปแบบการโจมตีที่ FireEye ตรวจพบนั้นเป็นลักษณะที่ถูกเรียกว่า Supply-chain คือการที่ผู้โจมตีโจมตีซอฟต์แวร์ ฮาร์ดแวร์หรือทรัพยากรที่จำเป็นที่องค์กรต้องใช้ในการดำเนินงาน จากนั้นใช้ประโยชน์จากการโจมตีนั้นในการบุกรุกและติดตั้งมัลแวร์
ซอฟต์แวร์ซึ่งถูกโจมตีในครั้งนี้คือ SolarWinds Orion ซึ่งใช้ในการตรวจสอบและเฝ้าระวังอุปกรณ์ไอทีในองค์กร โดย SolarWinds ได้ออกมายืนยันการโจมตีและเผยแพร่ Security advisory แล้ว
อ้างอิงจากรายละเอียดของ SolarWinds ซอฟต์แวร์ Orion ตั้งแต่เวอร์ชัน 2019.4 จนถึง 2020.21 ซึ่งถูกเผยแพร่ตั้งแต่เดือนมีนาคม 2020 จนถึงมิถุนายน 2020 ได้ถูกแก้ไขและติดตั้งแบ็คดอร์
แบ็คดอร์ซึ่งถูกติดตั้งถูกระบุชื่อโดย FireEye ว่า SUNBURST และถูกตรวจจับโดยไมโครซอฟต์ในชื่อ Solorigate
ในขณะนี้ FireEye ได้มีการเผยแพร่รายงานการวิเคราะห์มัลแวร์และแนวทางในการตรวจจับและเฝ้าระวังแล้ว
SolarWinds มีแผนจะปล่อยอัปเดต 2020.2.1 HF 2 ในวันที่ 15 ธันวาคมนี้ โดยอัปเดตจะนำส่วนของซอฟต์แวร์ที่มีแบ็คดอร์ออก และเพิ่มความปลอดภัยระบบ

ที่มา:

https://www.

เมื่อวันที่ 8 ธันวาคม 2020 ที่ผ่านมาตามเวลาในสหรัฐอเมริกา บริษัทด้านความปลอดภัยไซเบอร์ FireEye มีการประกาศถึงการโจมตีระบบและเครือข่ายของ FireEye ซึ่งส่งผลให้เกิดการรั่วไหลของเครื่องมือสำหรับการทำ Red Team Assessment หรือการประเมินความปลอดภัยระบบ ในเบื้องต้นทาง FireEye ระบุว่าการโจมตีดังกล่าวมีหลักฐานอย่างชัดเจนว่ามีกลุ่มแฮกเกอร์ในลักษณะ APT ที่มีศักยภาพสูงและอาจมีรัฐบาลประเทศใดประเทศหนึ่งหนุนหลัง

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligence Response) จากบริษัท ไอ-ซีเคียว จำกัด ได้ทำการประเมินผลกระทบเบื้องต้นจากการโจมตีและการรั่วไหลของข้อมูล โดยจะขอสรุปรายละเอียดสถานการณ์และคำแนะนำที่จำเป็นต่อการรับมือและตอบสนองภัยคุกคามตามรายละเอียดที่จะปรากฎในส่วนต่อไป
Incident Overview
จากประกาศซึ่งระบุรายละเอียดของเหตุการณ์ ทีม Intelligence Response ขอสรุปประเด็นสำคัญเกี่ยวกับสถานการณ์ที่เกิดขึ้นตามรายละเอียดดังต่อไปนี้

FireEye ตรวจพบการโจมตีซึ่งจากการตรวจสอบในเบื้องต้นนั้น พบว่าผู้โจมตีมีพฤติกรรมและเทคนิคการโจมตีที่ซับซ้อน ด้วยพฤติกรรมและหลักฐานในเบื้องต้น FireEye เชื่อว่าผู้อยู่เบื้องหลังการโจมตีคือกลุ่ม APT ที่มีรัฐบาลของชาติใดชาติหนึ่งหนุนหลัง
หลังจากตรวจพบการโจมตี FireEye ได้มีการประสานงานกับ FBI, Microsoft และพาร์ทเนอร์ของบริษัท จากการตรวจสอบสถานการณ์โดยบริษัทด้านความปลอดภัยไซเบอร์ภายนอกและหน่วยงานที่เกี่ยวข้อง ข้อสรุปยืนยันสมมติฐานของทาง FireEye ว่าผู้อยู่เบื้องหลังการโจมตีคือกลุ่ม APT ที่มีรัฐบาลของชาติใดชาติหนึ่งหนุนหลัง
จากการวิเคราะห์การโจมตี FireEye พบว่าผู้โจมตีมีการเข้าถึงเครื่องมือสำหรับให้บริการ Red Team Assessment หรือบริการด้านการประเมินความปลอดภัยระบบ ด้วยลักษณะของการเข้าถึงซึ่งอาจเป็นไปได้ว่ามีการนำออกไปด้วย ทีม FireEye ยังไม่สามารถระบุจากหลักฐานได้ว่าผู้โจมตีมีเจตนาจะใช้เครื่องมือดังกล่าวในการโจมตีอื่น ๆ ต่อหรือตั้งใจจะเปิดเผยเครื่องมือดังกล่าวสู่สาธารณะ
อย่างไรก็ตามจากการเฝ้าระวัง FireEye ยังไม่พบการใช้เครื่องมือที่ถูกละเมิดและรั่วไหลในการโจมตีจริงใด ๆ
พฤติกรรมของผู้โจมตีพุ่งเป้าไปที่การระบุหาข้อมูลของลูกค้าซึ่งเป็นหน่วยงานของรัฐบาลที่ใช้บริการ FireEye โดยทาง FireEye มีการระบุเพิ่มเติมว่า แม้จะมีหลักฐานจากการโจมตีซึ่งระบุให้เห็นผู้โจมตีเข้าถึงระบบภายในของ FireEye ไปแล้ว แต่ข้อมูลล่าสุดจากการตรวจสอบสถานการณ์ก็ยังไม่พบการนำข้อมูลของลูกค้าของ FireEye ออก โดย FireEye จะประสานงานกับลูกค้าโดยตรงหากพบข้อมูลเพิ่มเติมใด ๆ
FireEye ได้มีการเผยแพร่ signature ของเครื่องมือสำหรับทำ Red Team Assessment เพื่อให้สามารถถูกใช้ในการตรวจจับการนำเครื่องมือที่ถูกละเมิดและรั่วไหลออกไปใช้ซ้ำได้

Brief Analysis
ทีม Intelligent Response ได้ทำการตรวจสอบ signature ซึ่ง FireEye ทำการเผยแพร่ออกมาเพื่อประเมินสถานการณ์และวิธีรับมือเพิ่มเติม รายละเอียดด้านล่างคือผลการวิเคราะห์เบื้องต้นจากข้อมูลดังกล่าว

จำนวนของเครื่องมือสำหรับการ Red Team Assessment ที่ได้รับผลกระทบจากการถูกโจมตีมีทั้งหมด 311 รายการ โดยแยกออกได้ตามชื่อและประเภทของเครื่องมือทั้งหมด 60 ประเภท

จากเครื่องมือทั้งหมด 60 ประเภท ทีม Intelligent Response สามารถระบุที่มา และศักยภาพที่จะเกิดจากการใช้เครื่องมือและรายละเอียดเพิ่มเติมตาม MITRE ATT&CK ได้ดังรายการด้านล่าง

กลุ่ม ADPASSHUNT เป็นกลุ่มเครื่องมือสำหรับเทคนิค Credential access ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม ALLTHETHINGS คาดว่าเป็นกลุ่มเครื่องมือสำหรับการทำ Execution และ Defense evasion ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม BEACON เป็นโปรไฟล์ของเครื่องมือ Cobalt Strike สำหรับการทำ Command & Control โปรไฟล์ส่วนใหญ่เป็นการพัฒนาขึ้นเองตามสถานการณ์ บางส่วนของเครื่องมือในกลุ่มนี้สามารถใช้ในเทคนิค Initial access และ Execution ได้โดยอาศัยการใช้เทคนิค Living off the Land, เทคนิค DLL sideloading และอื่นๆ
กลุ่ม BELTALOWDA เป็นเครื่องมือในเทคนิค Reconnaissance และ Discovery คาดว่ามีที่มาจากโครงการโอเพนซอร์ส GhostPack/Seatbelt
กลุ่ม COREHOUND คาดว่าเป็นกลุ่มเครื่องมือสำหรับการทำ Discovery และ Lateral movement และอาจได้รับอิทธิพลมาจากเครื่องมือ BloodHound
กลุ่ม DSHELL คาดว่าเป็นเครื่องมือในกลุ่ม Execution และ Persistence โดยอาจเป็นแบ็คดอร์ที่ถูกพัฒนาขึ้นมาโดยใช้ภาษา D เพื่อหลีกเลี่ยงการตรวจจับ
กลุ่ม DTRIM ไม่มีข้อมูลสำหรับการวิเคราะห์
กลุ่ม DUEDLLIGENCE คาดว่าเป็นเครื่องมือสำหรับเทคนิค Execution และ Defense evasion ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม EWSRT คาดว่าเป็นลักษณะของเพย์โหลดแบบ HTML และ PS1 ซึ่งสามารถใช้ในเทคนิค Initial access ได้ ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม EXCAVATOR คาดว่าเป็นเครื่องมือในเทคนิค Credential access สำหรับการเข้าถึงข้อมูลสำหรับยืนยันตัวตนในหน่วยความจำ
กลุ่ม FLUFFY คาดว่าเป็นเครื่องมือสำหรับการทำ Discovery และ Lateral movement คาดว่ามีที่มาจากโครงการโอเพนซอร์ส GhostPack/Rubeus
กลุ่ม G2JS คาดว่าเป็นลักษณะของเพย์โหลดในเทคนิค Initial access และ Execution โดยมีพื้นฐานของเทคนิคการโจมตีมาจากการใช้เทคนิค tyranid/DotNetToJScript และ med0x2e/GadgetToJScript
กลุ่ม GETDOMAINPASSWORDPOLICY คาดว่าเป็นเครื่องมือสำหรับการทำ Discovery ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม GPOHUNT คาดว่าเป็นเครื่องมือสำหรับการทำ Discovery ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม SHARPGENERATOR คาดว่าเป็นลักษณะของเครื่องมือสำหรับสร้างเพย์โหลดจากภาษา C# ในเทคนิค Initial access และ Execution ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม SHARPSECTIONINJECTION คาดว่าเป็นลักษณะของเครื่องมือการช่วยรันโค้ดด้วยเทคนิค Process injection โดยใช้ภาษา C# ในเทคนิค Execution และ Defense evasion ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม IMPACKETOBF, IMPACKETOBF (Smbexec) และIMPACKETOBF (Wmiexec) คาดว่าเป็นลักษณะของเครื่องมือสำหรับ Discovery และ Lateral movement ซึ่งแตกต่างกันไปตามการอิมพลีเมนต์โปรโตคอลที่มีการใช้งาน เครื่องมือเหล่านี้อาจมีการพัฒนาโดยใช้โค้ดจากโครงการ SecureAuthCorp/impacket
กลุ่ม INVEIGHZERO ไม่มีข้อมูลสำหรับการวิเคราะห์
กลุ่ม WMIRUNNER คาดว่าเป็นเครื่องมือสำหรับการทำ Lateral movement ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม JUSTASK คาดว่าเป็นเครื่องมือสำหรับเทคนิค Persistence ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม KEEFARCE มีชื่อสอดคล้องกับโครงการ denandz/KeeFarce ซึ่งอยู่ในกลุ่ม Credential access โดยสามารถถูกใช้ในการดึงข้อมูลที่อยู่ในโปรแกรม KeePass ออกมาจากหน่วยความจำได้
กลุ่ม KEEPERSIST คาดว่าเป็นเครื่องมือสำหรับเทคนิค Persistence ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม LNKSMASHER คาดว่าเป็นเครื่องมือสำหรับ Execution และ Persistence โดยเป็นเฟรมเวิร์คสำหรับการพัฒนาแบ็คดอร์ในภาษา Python และอาจเกี่ยวข้องกับการใช้เทคนิคการโจมตีผ่านไฟล์ประเภท LNK ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม LUALOADER คาดว่าเป็นเครื่องมือสำหรับการทำ Execution และ Defense evasion เพื่อรันโค้ดที่เป็นอันตรายจากโปรแกรมที่พัฒนาขึ้นในภาษา Lua ที่มีคุณสมบัติที่จะถูกตรวจจับต่ำ ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม MATRYOSHKA คาดว่าเป็นเครื่องมือสำหรับ Execution และ Persistence โดยเป็นเฟรมเวิร์คสำหรับการพัฒนาแบ็คดอร์ในภาษา Python  ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม MEMCOMP คาดว่าเป็นเครื่องมือสำหรับการทำ Execution และ Defense evasion เพื่อรันโค้ดที่เป็นอันตรายจากโปรแกรม ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม MOFCOMP คาดว่าเป็นเทมเพลตของไฟล์ประเภท Windows Management Instrumentation (WMI) Managed Object Format (MOF) ซึ่งสามารถใช้เพื่อทำ Lateral movement ได้
กลุ่ม MSBUILDME คาดว่าเป็นเครื่องมือสำหรับการทำ Execution และ Defense evasion เพื่อรันโค้ดที่เป็นอันตรายจากโปรแกรม MSBuild.

Mandiant Threat Intelligence เปิดเผยในบล็อกของบริษัทเมื่อวานนี้ว่าทางบริษัทได้ร่วม MITRE เพื่อพัฒนา ATT&CK for ICS ขึ้นมาจากเดิมที่มี Enterprise ATT&CK Matrix ซึ่งพึ่งรวมกลุ่ม Cloud เข้าไปและแบบ Mobile โดยผลลัพธ์ของการดำเนินการร่วมกันอยู่ในรูปแบบของการรวม ATT&CK for ICS ไปไว้เป็นส่วนหนึ่งของ Enterprise ATT&CK Matrix อย่างที่ได้มีการทำมาก่อนกลับ Cloud รวมถึงไปอยู่ในเครื่องมืออย่าง ATT&CK Navigator tool ด้วย

ICS ATT&CK นั้นมีการรวม TTP ที่เกี่ยวข้องกับภัยคุกคามซึ่งพุ่งเป้าโจมตีระบบ Industry control system (ICS) รวมไปถึง Operation technology (OT) ซึ่งมีแนวโน้มจะเพิ่มสูงขึ้นเป็นอย่างมาก ในขณะเดียวกันระบบในส่วนนี้มักเป็นส่วนที่ขาดการดูแลและรักษาความปลอดภัย ส่งผลให้การโจมตีหากเกิดขึ้นกับระบบในส่วนนี้ก็จะสร้างความเสียหายได้มาก ด้วยความยากระดับต่ำที่จะทำให้การโจมตีเกิดขึ้นได้

ผู้ที่สนใจสามารถเข้าชม MITRE ATT&CK for ICS Matrix ได้ที่ https://collaborate.