安全公司Malwarebytes感染了攻击SolarWinds的相同黑客

2021-01-21 04:16:42

安全公司Malw​​arebytes表示,它遭到了同样由民族国家赞助的黑客的袭击,这些黑客入侵了十几个或更多的美国政府机构和私人公司。

攻击者最出名的是首先侵入总部位于德克萨斯州奥斯汀的SolarWinds,破坏了其软件分发系统,并使用它来感染使用SolarWinds网络管理软件的客户网络。但是,在在线通知中,Malwarebytes表示,攻击者使用了另一种媒介。

通知说:“虽然Malwarebytes不使用SolarWinds,但与其他许多公司一样,我们最近也受到了同一威胁参与者的攻击。” “我们可以通过滥用对Microsoft Office 365和Azure环境具有特权访问的应用程序来确认是否存在另一个入侵向量。”

调查人员确定,攻击者可以访问公司内部电子邮件的有限子集。到目前为止,研究人员尚未发现任何Malwarebytes生产环境中未经授权访问或损害的证据。

该通知并不是调查人员第一次说SolarWinds软件供应链攻击并不是唯一的感染手段。

微软上个月说,大规模的妥协曝光后,黑客还窃取了签名证书,使他们可以通过安全断言标记语言来模拟目标的现有用户和帐户。基于XML的语言通常缩写为SAML,它为身份提供者提供了一种与服务提供者交换身份验证和授权数据的方式。

十二天前,网络安全与基础设施安全局说,攻击者可能已通过使用密码猜测或密码喷雾或利用管理或服务凭据获得了初始访问权限。

Malwarebytes研究员Marcin Kleczynski写道:“在我们的特定情况下,威胁参与者在服务主体帐户中添加了带有凭据的自签名证书。” “从那里,他们可以使用密钥进行身份验证,并进行API调用以通过MSGraph请求电子邮件。”

上周,电子邮件管理提供商Mimecast还表示,黑客破坏了它颁发的数字证书,并将其用于特定客户,这些客户使用该证书来加密通过该公司基于云的服务发送和接收的数据。虽然Mimecast并未说证书泄露与正在进行的攻击有关,但相似之处使这两种攻击很可能相关。

由于攻击者利用他们对SolarWinds网络的访问来破坏公司的软件构建系统,因此Malwarebytes研究人员调查了它们也被用来感染其客户的可能性。到目前为止,Malwarebytes表示尚无这种感染的证据。该公司还检查了其源代码存储库是否存在恶意更改的迹象。

Malwarebytes表示,它是在12月15日首次从Microsoft获悉这种感染的,这是在首次披露SolarWinds黑客事件两天之后。微软通过Malwarebytes的Microsoft Office 365租户中的第三方应用程序进行的可疑活动,确定了网络危害。 Malwarebytes攻击中的战术,技术和步骤在关键方面与SolarWinds攻击中涉及的威胁参与者相似。

Malwarebytes的通知标志着公司第四次披露它是SolarWinds黑客的攻击目标。微软和安全公司FireEye和Crowdstrike也成为攻击目标,尽管Crowdstrike表示感染网络的尝试没有成功。据报道受影响的政府机构包括国防部,司法部,财政部,商务部,国土安全部和国立卫生研究院。