Rapport indicateurs de compromission – CERT-FR

Les marqueurs techniques, les règles SNORT et YARA suivantes sont issues des analyses de l’ANSSI lors du traitement d’une campagne de compromission par le mode opératoire Sandworm touchant plusieurs entités françaises et ciblant le logiciel de supervision Centreon. Cette campagne d’attaque est décrite dans le rapport CERTFR-2021-CTI-004. Ils sont fournis à des fins de recherche de compromission dans des journaux historiques, sur des systèmes et dans des flux réseau en temps réel. Toute détection à partir de ces éléments ne constitue pas une preuve de compromission mais doit être analysée afin de lever le doute. Plusieurs éléments sont relatifs à des outils partagés par plusieurs attaquants et leur détection seule ne suffit pas à lier un incident à cette campagne d’attaque. L’ANSSI est intéressée par tout incident découvert en lien avec cette campagne.

The following indicators, SNORT rules and YARA rules are from ANSSI’s analysis of an intrusion campaign targeting the monitoring software Centreon attributed to the intrusion set Sandworm which resulted in the breach of several French entities. This intrusion campaign is described in the following report CERTFR-2021-CTI-005. These technical elements are provided to help detecting malicious activities in logs, on systems and inside live network trafic. Every detection with these elements cannot be considered as a proof of intrusion and should be investigated to confirm. Some elements are detecting tools shared between several attackers so their detection is not sufficient to link an intrusion to this campaign. ANSSI is interested in every incident discovered and linked to this campaign.

 

TÉLÉCHARGER LES MARQUEURS (JSON MISP)
DOWNLOAD IOCS (JSON MISP)

 

TÉLÉCHARGER LES RÈGLES SNORT
DOWNLOAD SNORT RULES

 

TÉLÉCHARGER LES RÈGLES YARA
DOWNLOAD YARA RULES