Malwarebytes也由Solarwinds攻击者击中

在Solarwinds的状态备份组涉及Solarwinds崇容/森伯斯特攻击在2020年12月的网络犯罪期间也会击中Malwarebytes，通过滥用公司的Microsoft Office和Azure环境来访问其系统。

被称为UNC2452的小组也转过来了Fireeye - LED调查人员对Solarwinds妥协的初始事件 - 以及许多其他技术公司，它的妥协不会通过Solarwinds进行Solarwinds作为两家公司进行没有关系。

在披露事件的消息中，Malwarebytes首席执行官Marcin Kleczynski表示，毫无疑问，该公司受到同一个团伙的攻击。

“我们可以通过滥用与Microsoft Office 365和Azure环境的特权访问的应用程序来确认另一个入侵矢量的存在，这些入侵载体

“经过广泛的调查，我们确定攻击者只获得了对内部公司电子邮件的有限子集的访问权限。我们没有发现我们内部内部内部和生产环境中未经授权的访问或妥协的证据。“

Malwarebytes首次了解了可疑活动，符合UNC2452的策略，技术和程序（TTP），从其Microsoft Office 365到2020年12月15日的Microsoft Inform 365租户中的第三方申请。

此时，它激活了自己的事件响应程序，并从事Microsoft的帮助调查其云和内部部署环境，以便与触发警报的应用程序编程接口（API）调用相关的活动。

调查员发现UNC2452在其Office 365租户中利用了一个休眠电子邮件保护产品，它能够访问内部电子邮件的“有限子集” - 请注意它在其生产环境中不使用Azure Cloud Services。

已知UNC2452除了索兰/森伯斯特之外使用附加手段来损害利用管理员或服务凭证的高价值目标。在这种情况下，在Azure Active Directory中的漏洞首先在2019年曝光，它允许通过将凭据分配给应用程序来升级权限，使返回原理的凭据归入Microsoft图和Azure AD图。如果攻击者具有足够的管理员权限，则可以访问租户。

在Malwarebytes的情况下，除了利用管理员或服务凭据之外，还将通过密码猜测或喷涂获取初始访问。它们还将具有凭据的自签名证书添加到服务主体帐户，并从那里使用密钥进行身份验证，并通过MSGraph进行API调用来请求电子邮件。

Kleczynski表示，考虑到Solarwinds攻击的供应链本质，并且谨慎，它还通过自己的源代码，构建和交付过程，并逆向设计了自己的软件，但没有证据表明该集团已访问或受到妥协它在任何客户环境中，无论是云的还是现有的。

“虽然我们在相对较短的时间内学到了很多信息，但在这种长期积极的活动中有更多尚未发现，这已经影响了许多高调的目标，”Kleczynski写道。

“安全公司必须继续分享能够在这样的信息中有助于更大行业的信息，特别是由于与国家行为者的这种新的和复杂的攻击往往。

“我们要感谢安全社区 - 特别是Fireeye，Crowdstrike和Microsoft - 为此攻击分享许多细节。在已经困难的一年中，安全从业者和事件响应者应对职责召唤并在整个假日季节工作，包括我们自己的专业员工。

“安全行业充满了特殊的人，孜孜不倦地捍卫别人，今天它很明显，我们的工作是如何发展的。”

同时，Fireeye在本集团对办公室365租户的开发方面发布了有关UNC2452 TTP的额外信息，以及详细的新白皮书，详细说明了其可在此处下载的修复和硬化策略。

其强大的威胁检测单元还发布了审计脚本，Azure AD调查员，可以从其Github存储库下载，让Office 365用户检查他们的租户是否有妥协指标（IOC）。

此脚本将警告管理员和安全团队到可能需要进一步审查的人工制品，以了解它们是否是恶意的 - 许多UNC2452的TTPS可以通过在日常活动中的合法工具使用，因此将允许的任何活动相关联活动非常重要。