Hackeri SolarWinds tiež porušili spoločnosť Malwarebytes pre kybernetickú bezpečnosť

Spoločnosť Malwarebytes v utorok uviedla, že bola narušená tou istou skupinou, ktorá sa prelomila do SolarWinds, aby získala prístup k niektorým z jej interných e-mailov, čím sa stala štvrtým hlavným dodávateľom kybernetickej bezpečnosti, na ktorého sa zamerala po FireEye, Microsofte a CrowdStrike.

Spoločnosť uviedla, že jej prienik nie je výsledkom kompromisu SolarWinds, ale skôr samostatným vektorom počiatočného prístupu, ktorý funguje tak, že „zneužíva aplikácie s privilegovaným prístupom k prostrediam Microsoft Office 365 a Azure“.

K objavu došlo po tom, čo spoločnosť Microsoft 15. decembra upozornila Malwarebytes na podozrivú aktivitu zo spiacej aplikácie na ochranu e-mailov v rámci svojho nájomcu Office 365 a následne vykonala podrobné vyšetrovanie incidentu.

„Zatiaľ čo Malwarebytes nepoužíva SolarWinds, my, podobne ako mnohé iné spoločnosti, sme sa nedávno stali terčom toho istého aktéra hrozby,“ uviedol v príspevku generálny riaditeľ spoločnosti Marcin Kleczynski. “Nenašli sme žiadne dôkazy o neoprávnenom prístupe alebo kompromitácii v žiadnom z našich interných lokálnych a produkčných prostredí.”

Skutočnosť, že boli použité počiatočné vektory nad rámec softvéru SolarWinds, pridáva ďalší chýbajúci kúsok do rozsiahlej špionážnej kampane, o ktorej sa teraz predpokladá, že ju vykonáva aktér hrozby menom UNC2452 (alebo Dark Halo), pravdepodobne z Ruska.

Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) začiatkom tohto mesiaca uviedla, že našla dôkazy o počiatočných infekčných vektoroch s použitím iných nedostatkov, ako je platforma SolarWinds Orion, vrátane hádania hesiel, sprejovania hesiel a nevhodne zabezpečených administratívnych poverení prístupných prostredníctvom externých služieb vzdialeného prístupu. .

„Domnievame sa, že k nášmu nájomcovi sa pristupovalo pomocou jedného z TTP, ktoré boli zverejnené v upozornení CISA,“ vysvetlil Kleczynski vo vlákne Reddit.

Malwarebytes uviedol, že aktér hrozby pridal certifikát s vlastným podpisom s povereniami do hlavného účtu služby a následne ho použil na volania API na vyžiadanie e-mailov cez Microsoft Graph.

Táto správa prichádza po štvrtom kmeni malvéru s názvom Raindrop, ktorý bol nájdený nasadený na vybraných sieťach obetí, čím sa rozširuje arzenál nástrojov používaných aktérom hrozby v rozľahlom útoku na dodávateľský reťazec SolarWinds.

FireEye zverejnil podrobný prehľad taktiky, ktorú prijal herec Dark Halo, pričom poznamenal, že útočníci využili kombináciu až štyroch techník, aby sa laterálne presunuli do cloudu Microsoft 365.

  • Ukradnite certifikát na podpisovanie tokenov služby Active Directory Federation Services (AD FS) a použite ho na falšovanie tokenov pre ľubovoľných používateľov
  • Upravte alebo pridajte dôveryhodné domény v Azure AD a pridajte nového federatívneho poskytovateľa identity (IdP), ktorého ovláda útočník.
  • Ohroziť prihlasovacie údaje lokálnych používateľských účtov, ktoré sú synchronizované so službou Microsoft 365, ktoré majú vysoko privilegované roly v adresári, a
  • Backdoor existujúcej aplikácie Microsoft 365 pridaním novej aplikácie

Firma vlastnená Mandiantom tiež vydala audítorský skript nazvaný Azure AD Investigator, ktorý podľa nej môže pomôcť spoločnostiam kontrolovať ich nájomníkov Microsoft 365 na indikátory niektorých techník používaných hackermi SolarWinds.