Список компаний, пострадавших от рук хакеров, скомпрометировавших SolarWinds, продолжает пополняться. Представители ИБ-компании Malwarebytes сообщили, что хотя компания не пользовалась продуктами SolarWinds, те же самые злоумышленники сумели получить доступ к ее внутренним письмам. Напомню, что атаку на SolarWinds приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).

В своем заявлении Malwarebytes подчеркивает, что этот инцидент не связан с недавней атакой на цепочку поставок и взломом компании SolarWinds. Однако те же самые хакеры взломали внутренние системы Malwarebytes, используя для этого бездействующий защитный продукт в клиенте для электронной почты Office 365. Специалисты рассказывают, что для атаки хакеры применили старую уязвимость в Azure Active Directory и в итоге получили возможность выполнять вызовы API, чтобы извлекать письма через MSGraph.

«Невзирая на то, что Malwarebytes не использует продукцию SolarWinds, мы, как и многие другие компании, недавно подверглись атаке того же злоумышленника. Мы можем подтвердить существование еще одного вектора атак, который злоупотребляет приложениями с привилегированным доступом к средам Microsoft Office 365 и Azure», — гласит заявление компании.

Атаку обнаружили 15 декабря 2020 года, и в Malwarebytes узнали о случившемся от специалистов Microsoft, которые заметили подозрительную активность, исходящую от бездействующего защитного приложения. Дело в том, что тогда о компрометации SolarWinds уже стало известно, и Microsoft проверяла свою инфраструктуру (включая Office 365 и Azure) в поисках следов вредоносных приложений, созданных хакерами, скомпрометировавшими SolarWinds.

После того как взлом обнаружили, Malwarebytes провела внутреннюю проверку и теперь сообщает:

«После тщательного расследования мы определили, что злоумышленник получил доступ только к ограниченному количеству внутренних электронных писем компании».

Так как в случае SolarWinds злоумышленники внедрили малварь в один из продуктов пострадавшей компании (плат­форму Orion, предназна­чен­ную для цен­тра­лизо­ван­ного монито­рин­га и управле­ния, снабдили вредонос­ным обновле­нием), представители Malwarebytes подчеркивают, что был проведен тщательный аудит всех продуктов и их исходного кода, однако эти проверки не выявили никаких доказательств несанкционированного доступа или взлома. Сообщается, что ПО компании безопасно и им можно пользоваться дальше.

Оставить мнение