Malwarebytes dijo el martes que fue violado por el mismo grupo que irrumpió en SolarWinds para acceder a algunos de sus correos electrónicos internos, lo que lo convierte en el cuarto proveedor principal de ciberseguridad en ser atacado después de FireEye , Microsoft y CrowdStrike .
La compañía dijo que su intrusión no fue el resultado de un compromiso de SolarWinds, sino más bien debido a un vector de acceso inicial separado que funciona «abusando de las aplicaciones con acceso privilegiado a los entornos de Microsoft Office 365 y Azure».
El descubrimiento se realizó después de que Microsoft notificara a Malwarebytes de una actividad sospechosa de una aplicación de protección de correo electrónico inactiva dentro de su inquilino de Office 365 el 15 de diciembre, luego de lo cual realizó una investigación detallada sobre el incidente.
«Si bien Malwarebytes no usa SolarWinds, nosotros, como muchas otras compañías, fuimos recientemente atacados por el mismo actor de amenazas», dijo el CEO de la compañía, Marcin Kleczynski , en una publicación. «No encontramos evidencia de acceso no autorizado o compromiso en ninguno de nuestros entornos internos en las instalaciones y de producción».
El hecho de que se utilizaron vectores iniciales más allá del software SolarWinds agrega otra pieza que falta a la amplia campaña de espionaje, que ahora se cree que es llevada a cabo por un actor de amenazas llamado UNC2452 (o Dark Halo), probablemente de Rusia .
De hecho, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) dijo a principios de este mes que encontró evidencia de vectores de infección inicial utilizando fallas distintas de la plataforma SolarWinds Orion, incluida la adivinación de contraseñas, la propagación de contraseñas y credenciales administrativas protegidas de manera inapropiada accesibles a través de servicios externos de acceso remoto. .
«Creemos que se accedió a nuestro inquilino mediante uno de los TTP que se publicaron en la alerta CISA», explicó Kleczynski en un hilo de Reddit .
Malwarebytes dijo que el actor de amenazas agregó un certificado autofirmado con credenciales a la cuenta de servicio principal, y luego lo usó para realizar llamadas a la API para solicitar correos electrónicos a través de Microsoft Graph .
La noticia llega inmediatamente después de una cuarta cepa de malware llamada Raindrop que se encontró desplegada en redes de víctimas seleccionadas, ampliando el arsenal de herramientas utilizadas por el actor de amenazas en el extenso ataque de la cadena de suministro SolarWinds.
FireEye, por su parte, ha publicado un resumen detallado de las tácticas adoptadas por el actor de Dark Halo, señalando que los atacantes aprovecharon una combinación de hasta cuatro técnicas para moverse lateralmente a la nube de Microsoft 365.
- Robar el certificado de firma de tokens de Active Directory Federation Services (AD FS) y usarlo para falsificar tokens para usuarios arbitrarios
- Modifique o agregue dominios de confianza en Azure AD para agregar un nuevo proveedor de identidad (IdP) federado que controle el atacante.
- Poner en peligro las credenciales de las cuentas de usuario locales que están sincronizadas con Microsoft 365 que tienen roles de directorio con altos privilegios, y
- Puerta trasera de una aplicación existente de Microsoft 365 agregando una nueva aplicación
La empresa propiedad de Mandiant también ha lanzado un script de auditoría, llamado Azure AD Investigator , que dice que puede ayudar a las empresas a verificar sus inquilinos de Microsoft 365 en busca de indicadores de algunas de las técnicas utilizadas por los piratas informáticos de SolarWinds.