Nation State Actor针对的恶意软件字节涉及SolarWinds违规

2021-01-21 15:10:51

利用SolarWinds的软件进行的国家级攻击已在整个安全行业引起连锁反应,影响了多个组织。我们首先在12月14日的博客中报告了该事件,并使用SolarWinds通知了我们的商业客户,要求他们采取预防措施。

尽管Malwarebytes不使用SolarWinds,但与其他许多公司一样,我们最近也受到了同一威胁参与者的攻击。我们可以通过滥用对Microsoft Office 365和Azure环境具有特权访问的应用程序来确认是否存在另一个入侵向量。经过广泛调查,我们确定攻击者仅获得了内部公司电子邮件的有限子集。在我们的任何内部本地和生产环境中,我们都没有发现未经授权的访问或破坏的证据。

12月15日,我们从Microsoft安全响应中心收到了有关Microsoft Office 365租户中第三方应用程序的可疑活动的信息,这些活动与参与SolarWinds攻击的同一高级威胁参与者的策略,技术和过程(TTP)一致。

我们立即启动了事件响应小组,并与Microsoft的检测和响应团队(DART)进行了接触。我们共同对云和本地环境进行了广泛的调查,以调查与触发初始警报的API调用相关的任何活动。调查表明,攻击者利用了Office 365租户中的休眠电子邮件保护产品,该产品允许访问内部公司电子邮件的有限子集。我们不在生产环境中使用Azure云服务。

考虑到SolarWinds攻击的供应链性质,并且非常谨慎,我们立即对所有Malwarebytes源代码,构建和交付过程进行了彻底调查,包括对我们自己的软件进行反向工程。我们的内部系统未显示任何本地和生产环境中未经授权访问或损害的证据。我们的软件仍然可以安全使用。

正如美国网络安全和基础设施安全局(CISA)所说,对手不仅依靠SolarWinds供应链攻击,而且确实使用了其他手段通过利用管理或服务凭据来破坏高价值目标。

在2019年,一位安全研究人员暴露了Azure Active Directory的一个漏洞,该漏洞可以通过向应用程序分配凭据来升级特权。在2019年9月,他发现该漏洞仍然存在,并从根本上导致了后门访问委托人的凭据进入Microsoft Graph和Azure AD Graph。

如果具有足够管理特权的攻击者可以访问租户,则第三方应用程序可能会被滥用。最新发布的CISA报告揭示了威胁参与者除了利用管理或服务凭据以外,还可能通过密码猜测或密码喷雾获得了初始访问权限。在我们的特定情况下,威胁参与者将带有凭据的自签名证书添加到服务主体帐户。从那里,他们可以使用密钥进行身份验证并进行API调用,以通过MSGraph请求电子邮件。

对于许多组织而言,保护Azure租户可能是一项艰巨的任务,尤其是在与第三方应用程序或代理商打交道时。 CrowdStrike发布了一种工具,可帮助公司识别和缓解Azure Active Directory中的风险。

尽管我们在相对较短的时间内就学到了很多信息,但对于这场影响如此众多目标的长期而积极的战役,还有很多待发现。至关重要的是,安全公司必须继续共享信息,以在这样的时代为更大的行业提供帮助,尤其是在此类新的复杂攻击通常与民族行为者相关联的情况下。

我们要感谢安全社区,特别是FireEye,CrowdStrike和Microsoft,分享了有关此攻击的许多详细信息。在已经困难的一年中,安全从业人员和事件响应者响应了职责要求,并在整个假期期间工作,包括我们自己的敬业员工。安全行业到处都是杰出的人,他们孜孜不倦地为他人辩护,而今天,我们的工作向前迈出了至关重要的一步。