اختراق Malwarebytes ضمن سلسلة هجمات SolarWinds
تم اكتشاف هذا الاكتشاف بعد إخطار Microsoft Malwarebytes بالنشاط المشبوه من تطبيق حماية البريد الإلكتروني النائم داخلها Office 365 Tenant في 15 كانون الأول (ديسمبر) ، أجرى تحقيقًا مفصلاً في الحادث
متابعات-ميكسي نيوز
Malwarebytes…..قال Malwarebytes يوم الثلاثاء إنه تم انتهاكه من قبل نفس المجموعة التي اقتحمت Solarwinds للوصول إلى بعض رسائل البريد الإلكتروني الداخلية ، مما يجعلها رابعة بائع الأمن السيبراني الرئيسي الذي يتم استهدافه بعد FireEye و Microsoft و CrowdStrike.
وقالت الشركة إن اقتحامها لم يكن نتيجة حل وسط Solarwinds ، ولكن بسبب ناقل وصول أولي منفصل يعمل من خلال “إساءة استخدام التطبيقات مع وصول متميز إلى بيئات Microsoft Office 365 و Azure.”
تم اكتشاف هذا الاكتشاف بعد إخطار Microsoft Malwarebytes بالنشاط المشبوه من تطبيق حماية البريد الإلكتروني النائم داخلها Office 365 Tenant في 15 كانون الأول (ديسمبر) ، أجرى تحقيقًا مفصلاً في الحادث.
“في حين أن Malwarebytes لا تستخدم Solarwinds ، فإننا ، مثل العديد من الشركات الأخرى ، تم استهدافها مؤخرًا من قبل ممثل التهديد نفسه ،” قال في منشور. “لم نجد أي دليل على وصول أو حل وسط غير مصرح به في أي من بيئات الإنتاج الداخلية والبيئات الإنتاجية الداخلية.”
تضيف حقيقة أن المتجهات الأولية التي تتجاوز برامج Solarwinds تضيف قطعة أخرى مفقودة إلى حملة التجسس الواسعة النطاق ، والتي يُعتقد الآن أنها تنفذها ممثل تهديد يدعى UNC2452 (أو Halo المظلم) ، على الأرجح من روسيا.
في الواقع ، قالت وكالة أمن الأمن السيبراني والبنية التحتية الأمريكية (CISA) في وقت سابق من هذا الشهر إنها وجدت دليلًا على وجود ناقلات العدوى الأولية التي تستخدم عيوب أخرى غير منصة Solarwinds Orion ، بما في ذلك تخمين كلمة المرور ، ورش كلمة المرور ، وبيانات الاعتماد الإدارية المضمونة بشكل غير لائق عبر خدمات الوصول عن بعد الخارجية.
“نعتقد أنه تم الوصول إلى مستأجرنا باستخدام أحد TTPs الذي تم نشره في تنبيه CISA” ، أوضح Kleczynski في أ رديت خيط.
وقال ماليز ماليتيس الممثل التهديد أضاف شهادة توقيع ذاتيا مع بيانات الاعتماد إلى حساب الخدمة الرئيسية ، بعد ذلك ، استخدمه لإجراء مكالمات API لطلب رسائل البريد الإلكتروني عبر Microsoft الرسم البياني.
تأتي الأخبار في أعقاب سلالة برامج ضارة رابعة تسمى Raindrop تم العثور عليها تم نشرها على شبكات الضحايا المختارة ، مما يوسع ترسانة الأدوات التي يستخدمها ممثل التهديد في هجوم سلسلة التوريد من Solarwinds المترامية الأطراف.
Fireeye ، من جانبها ، نشرت أ المتهدمة مفصلة من بين التكتيكات التي اعتمدها ممثل Dark Halo ، مشيرًا إلى أن المهاجمين استفادوا من مزيج من ما يصل إلى أربع تقنيات للتحرك بشكل جانبي إلى Microsoft 365 Cloud.
- سرقة شهادة التوقيع المميز لخدمات اتحاد Active Directory (AD FS) واستخدمها لتصوير الرموز المميزة للمستخدمين التعسفي
- تعديل أو إضافة المجالات الموثوقة في Azure AD لإضافة مزود هوية Federated جديد (IDP) يتحكم المهاجم.
- تعرض لبيانات اعتماد حسابات المستخدمين المحليين التي تتم مزامنتها مع Microsoft 365 التي لها أدوار دليل متميز عالية ، و
- Backdoor تطبيق Microsoft 365 موجود عن طريق إضافة تطبيق جديد
كما أصدرت الشركة المملوكة للمنسد نصيًا للتدقيق ، يسمى Azure AD محقق، يمكن أن تساعد الشركات على التحقق من مستأجري Microsoft 365 للحصول على مؤشرات لبعض التقنيات التي يستخدمها المتسللين Solarwinds.
