Список компаний, пострадавших от рук хакеров, скомпрометировавших SolarWinds, продолжает пополняться. Представители ИБ-компании Malwarebytes сообщили, что хотя компания не пользовалась продуктами SolarWinds, те же самые злоумышленники сумели получить доступ к ее внутренним письмам. Напомню, что атаку на SolarWinds приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).
В своем заявлении Malwarebytes подчеркивает, что этот инцидент не связан с недавней атакой на цепочку поставок и взломом компании SolarWinds. Однако те же самые хакеры взломали внутренние системы Malwarebytes, используя для этого бездействующий защитный продукт в клиенте для электронной почты Office 365. Специалисты рассказывают, что для атаки хакеры применили старую уязвимость в Azure Active Directory и в итоге получили возможность выполнять вызовы API, чтобы извлекать письма через MSGraph.
«Невзирая на то, что Malwarebytes не использует продукцию SolarWinds, мы, как и многие другие компании, недавно подверглись атаке того же злоумышленника. Мы можем подтвердить существование еще одного вектора атак, который злоупотребляет приложениями с привилегированным доступом к средам Microsoft Office 365 и Azure», — гласит заявление компании.
Атаку обнаружили 15 декабря 2020 года, и в Malwarebytes узнали о случившемся от специалистов Microsoft, которые заметили подозрительную активность, исходящую от бездействующего защитного приложения. Дело в том, что тогда о компрометации SolarWinds уже стало известно, и Microsoft проверяла свою инфраструктуру (включая Office 365 и Azure) в поисках следов вредоносных приложений, созданных хакерами, скомпрометировавшими SolarWinds.
После того как взлом обнаружили, Malwarebytes провела внутреннюю проверку и теперь сообщает:
«После тщательного расследования мы определили, что злоумышленник получил доступ только к ограниченному количеству внутренних электронных писем компании».
Так как в случае SolarWinds злоумышленники внедрили малварь в один из продуктов пострадавшей компании (платформу Orion, предназначенную для централизованного мониторинга и управления, снабдили вредоносным обновлением), представители Malwarebytes подчеркивают, что был проведен тщательный аудит всех продуктов и их исходного кода, однако эти проверки не выявили никаких доказательств несанкционированного доступа или взлома. Сообщается, что ПО компании безопасно и им можно пользоваться дальше.
