SolarWinds黑客还入侵了Malwarebytes网络安全公司

Malwarebytes周二表示，它被闯入SolarWinds访问其部分内部电子邮件的同一个组织攻破，成为继FireEye、微软和CrowdStrike之后第四个被攻击的主要网络安全供应商。

该公司表示，其入侵不是SolarWinds的妥协造成的，而是由于一个单独的初始访问向量，“滥用对Microsoft Office 365和Azure环境具有特权访问权限的应用程序”

这一发现是在12月15日微软通知Malwarebytes其Office 365租户中的一个休眠电子邮件保护应用程序有可疑活动后做出的，随后微软对该事件进行了详细调查。

“虽然Malwarebytes不使用SolarWinds，但我们和许多其他公司一样，最近也成为了同一威胁行为体的目标，”该公司首席执行官马辛·克莱琴斯基（Marcin Kleczynski）在一篇帖子中说。“我们没有发现任何证据表明我们的任何内部场所和生产环境存在未经授权的访问或泄露。”

事实上，美国网络安全和基础设施安全局（CISA）本月早些时候表示，它发现了初始感染媒介使用SolarWinds Orion平台以外缺陷的证据，包括密码猜测、密码喷洒，以及通过外部远程访问服务访问的不适当安全管理凭据。

“我们相信我们的租户是通过CISA警报中发布的一个TTP访问的，”Kleczynski在Reddit帖子中解释道。

Malwarebytes说，威胁参与者向主体服务帐户添加了一个带有凭据的自签名证书，随后使用它进行API调用，通过Microsoft Graph请求电子邮件。

这条新闻是在第四种被称为Raindrop的恶意软件被发现部署在特定的受害者网络上之后发布的，这扩大了威胁行为人在大规模SolarWinds供应链攻击中使用的工具库。

FireEye则发布了《黑暗光环》（Dark Halo）演员所采用战术的详细摘要，指出攻击者利用多达四种技术的组合，横向移动到微软365云。

• 窃取Active Directory联合身份验证服务（AD FS）令牌签名证书，并使用它为任意用户伪造令牌
• 在Azure AD中修改或添加受信任域，以添加攻击者控制的新联合身份提供程序（IdP）。
• 泄露与具有高权限目录角色的Microsoft 365同步的本地用户帐户的凭据，以及
• 通过添加新应用程序来后门现有的Microsoft 365应用程序

Mandiant旗下的这家公司还发布了一个名为Azure AD Investor的审计脚本，该脚本可以帮助公司检查其Microsoft 365租户，以了解SolarWinds黑客使用的一些技术的指标。