Крупная антивирусная и антивирусная компания Malwarebytes заявляет, что стала жертвой недавнего взлома SolarWinds с помощью вредоносного ПО Solarigate. С прошлого года поддерживаемое государством нарушение нацелено на пользователей приложения SolarWinds Orion, включая Nvidia, Microsoft и правительственные организации.
В официальном сообщении в блоге Malwarebytes указывает, что не является пользователем приложений SolarWinds. Однако компания была взломана через другой вектор, который уже был скомпрометирован. Атака была совершена из уже взломанных приложений, которые имели доступ к службам Microsoft 365 и Azure. Malwarebytes использует эти две службы Microsoft.
Злоумышленники смогли получить доступ к «ограниченному подмножеству внутренней электронной почты компании», но не к каким-либо производственным системам.
По словам генерального директора Марцина Клецински, Malwarebytes работала напрямую с группой обнаружения и реагирования Microsoft (DART), чтобы найти атаку.
«Вместе мы провели обширное исследование как нашей облачной, так и локальной среды на предмет любых действий, связанных с вызовами API, которые вызвали первоначальное предупреждение. Расследование показывает, что злоумышленники использовали бездействующий продукт защиты электронной почты в нашем клиенте Office 365, который позволял получить доступ к ограниченному подмножеству внутренней электронной почты компании».
Двигаясь вперед, Malwarebytes говорит, что работает с другими фирмами по безопасности для обмена информацией. Есть надежда, что станет легче смягчать атаки Solarigate и находить ответы, которые помогут остановить нарушения.
Атаки
Ранее в этом месяце Министерство юстиции США подтвердило взлом Microsoft 365, связанный с атакой SolarWinds. По данным правительственного агентства, взлом сделал уязвимыми 3% его почтового ящика. Однако никакой секретной информации во время атаки похищено не было.
Хотя вредоносное ПО Solarigate может быть доставлено через службы Microsoft, оно не вызвано ими. Поддерживаемые Россией злоумышленники использовали веб-сайт avsvmcloud.com для размещения сервера вредоносного ПО Solorigate. Заражение было разослано 18 000 клиентам SolarWinds Orion. Многие из этих пользователей являются крупными организациями и государственными ведомствами.
В прошлом месяце президент Microsoft Брэд Смит заявил, что атака создает «серьезная технологическая уязвимость для Соединенных Штатов и всего мира».
Также в декабре Агентство по кибербезопасности и безопасности инфраструктуры (CISA) представило инструмент PowerShell, который поможет клиентам Microsoft 365 смягчить последствия Solarigate. Microsoft недавно подтвердила, что украденные учетные данные Azure/Microsoft 365 и токены доступа были частью взлома.
Совет дня:
Знаете ли вы, что виртуальный диск в Windows 10 может помочь вам в управлении дисками по разным причинам? Виртуальный диск просто моделируется платформой как отдельный диск, в то время как удерживаемый файл может храниться в любом месте вашей системы.
Данные на диске доступны в файлах или папках, которые представлены программным обеспечением в операционной системе как диск. В нашем руководстве мы покажем вам различные способы настройки и использования таких виртуальных дисков.