1月29日,网络安全公司Malwarebytes声称遭到入侵,黑客与此前入侵了IT综合监控软件供应商SolarWinds的是同一伙,染指了其部分内部电子邮件。至此,在FireEye、微软和CrowdStrike之后,Malwarebytes成为了第四家安全防线被突破的主流网络安全供应商。
Malwarebytes称,此次入侵并非SolarWinds被黑的结果,而是因为黑客“滥用拥有Microsoft Office 365和Azure环境访问特权的应用”,是另一类初步访问手法。
早在去年12月15日微软就已通告Malwarebytes,称其Office 365中的一个休眠电子邮件保护应用出现可疑活动,随后Malwarebytes展开详细调查,最终发现遭到入侵。
Malwarebytes首席执行官Marcin Kleczynski在文章中称:“虽然没有使用SolarWinds,但Malwarebytes与其他多家公司一样,都于近期遭到同一伙黑客的攻击。我们内部本地环境和生产环境中并未发现任何未授权访问或破坏的证据。”
据信这一系列网络间谍行动均是同一伙黑客所为,该黑客组织可能来自俄罗斯,名为UNC2452(或Dark Halo)。Malwarebytes被黑事件中初始访问手段并非SolarWinds软件,这一事实进一步补全了该黑客组织画像。
事实上,美国网络安全与基础设施安全局 (CISA)本月早些时候曾表示,已发现利用非SolarWinds Orion平台初始感染途径的证据,包括密码猜解、密码喷射和通过外部远程访问服务入手防护不周的管理员登录凭证。
Kleczynski在Reddit帖子中解释道:“我们认为,黑客利用CISA警报中公布的战术、技术和程序(TTP)攻击了我们的租户。”
Malwarebytes称,攻击者在自签名证书中添加了主服务账户登录凭证,然后用此证书调用API,通过Microsoft Graph请求电子邮件。
就在Malwarebytes被黑事件之前不久,部分受害网络上曝出名为Raindrop的第四种恶意软件,进一步验证了UNC2452(Dark Halo)黑客组织在不断蔓延的SolarWinds供应链攻击中所用武器种类之多。
FireEye也发布了Dark Halo黑客组织所用战术的详尽分析文章,指出该攻击团伙综合利用了四种技术在Microsoft 365云上游走。
-
盗取活动目录联合身份验证服务(ADFS)令牌签名证书,以此伪造任意用户的令牌。
-
在Azure AD中修改或添加可信域,从而加入攻击者控制之下的联合身份提供者(IdP)。
-
盗取同步Microsoft 365高权限目录角色的本地用户账户凭证。
-
通过添加新应用在现有Microsoft 365应用中植入后门。
FireEye还发布了一份审计脚本,名为Azure AD Investigator,号称可帮助公司企业检查Microsoft 365租户状态,揭示SolarWinds黑客所用技术指标。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。