Hackers do SolarWinds também violaram a empresa Malwarebytes Cybersecurity

A empresa disse que sua invasão não foi resultado de um comprometimento da SolarWinds, mas sim devido a um vetor de acesso inicial separado que funciona “abusando de aplicativos com acesso privilegiado a ambientes Microsoft Office 365 e Azure”.

A descoberta foi feita depois que a Microsoft notificou o Malwarebytes sobre atividades suspeitas de um aplicativo de proteção de e-mail inativo em seu locatário do Office 365 em 15 de dezembro, após o que realizou uma investigação detalhada sobre o incidente.

“Embora a Malwarebytes não use SolarWinds, nós, como muitas outras empresas, fomos recentemente visados ​​pelo mesmo ator de ameaça”, disse o CEO da empresa, Marcin Kleczynski , em um post. “Não encontramos nenhuma evidência de acesso não autorizado ou comprometimento em qualquer um de nossos ambientes internos e de produção.”

O fato de que vetores iniciais além do software SolarWinds foram usados ​​adiciona outra peça que faltava à ampla campanha de espionagem, agora considerada como sendo executada por um ator de ameaça chamado UNC2452 (ou Dark Halo), provavelmente da Rússia .

De fato, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) disse no início deste mês que encontrou evidências de vetores de infecção iniciais usando outras falhas além da plataforma SolarWinds Orion, incluindo adivinhação de senha, pulverização de senha e credenciais administrativas inadequadamente protegidas acessíveis por meio de serviços externos de acesso remoto .

“Acreditamos que nosso inquilino foi acessado usando um dos TTPs que foram publicados no alerta CISA”, explicou Kleczynski em um tópico do Reddit .

Malwarebytes disse que o agente da ameaça adicionou um certificado autoassinado com credenciais à conta de serviço principal, posteriormente usando-o para fazer chamadas de API para solicitar e-mails através do Microsoft Graph .

A notícia vem na esteira de uma quarta cepa de malware chamada Raindrop, que foi encontrada implantada em redes de vítimas selecionadas, ampliando o arsenal de ferramentas usadas pelo ator da ameaça no amplo ataque à cadeia de suprimentos da SolarWinds.

A FireEye, por sua vez, publicou um resumo detalhado das táticas adotadas pelo ator Dark Halo, observando que os invasores aproveitaram uma combinação de até quatro técnicas para mover lateralmente para a nuvem Microsoft 365.

• Roube o certificado de assinatura de token dos Serviços de Federação do Active Directory (AD FS) e use-o para forjar tokens para usuários arbitrários
• Modifique ou adicione domínios confiáveis ​​no Azure AD para adicionar um novo Provedor de Identidade (IdP) federado que o invasor controla.
• Comprometer as credenciais de contas de usuário locais que são sincronizadas com o Microsoft 365 que têm funções de diretório de alto privilégio, e
• Faça backdoor em um aplicativo Microsoft 365 existente adicionando um novo aplicativo

A empresa de propriedade da Mandiant também lançou um script de auditoria, chamado Azure AD Investigator , que pode ajudar as empresas a verificar seus locatários do Microsoft 365 em busca de indicadores de algumas das técnicas usadas pelos hackers da SolarWinds.

Fonte: https://thehackernews.com/