Thread: Взломавшие SolarWinds хакеры получили доступ к внутренней электронной почте Malwarebytes
View Single Post
  #1  
Old 03-29-2025, 05:42 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Хакеры использовали приложения с привилегированным доступом к средам Microsoft Office 365 и Azure.

Исследователи безопасности из ИБ-фирмы Malwarebytes подтвердили , что киберпреступники, ответственные за атаку на цепочку поставок SolarWinds, смогли получить доступ к электронной почте компании.
«Несмотря на то, что Malwarebytes не использует ПО SolarWinds, мы, как и многие другие компании, недавно подверглись нападению того же злоумышленника. Мы можем подтвердить существование еще одного вектора атак, предполагающего злоупотребление приложениями с привилегированным доступом к средам Microsoft Office 365 и Azure», — сообщил генеральный директор и соучредитель Malwarebytes Марцин Клечински (Marcin Kleczynski).
По словам экспертов, 15 декабря они получили уведомление от Microsoft Security Response Center о подозрительной активности стороннего приложения в клиенте Microsoft Office 365, соответствующей тактике, методам и процедурам тех же самых преступников, которые участвовали в атаках на SolarWinds. Как показали результаты расследования, злоумышленники воспользовались уязвимостью Azure Active Directory, которая позволила получить доступ к ограниченному набору внутренней электронной почты компании.
Учитывая характер атаки на цепочки поставок SolarWinds и проявляя особую осторожность, специалисты немедленно провели тщательное исследование всего исходного кода Malwarebytes, процессов сборки и доставки, включая обратное проектирование их собственного программного обеспечения. Внутренние системы не показали никаких свидетельств несанкционированного доступа или взлома в любых локальных и производственных средах. Программное обеспечение безопасно для использования, заверили исследователи.
На фоне текущих расследований, специалисты FireEye выпустили инструмент для аудита сетей на предмет техник, используемых хакерами в ходе взлома сетей SolarWinds. Бесплатный инструмент под названием Azure AD Investigator призван помочь компаниям определить, использовали ли хакеры SolarWinds какие-либо из этих методов в их сетях.
FireEye также выпустила отчет, в котором описала этапы атаки:
  1. Хищение сертификата для подписи токена Active Directory Federation Services (AD FS) и использование его для подделки токенов для произвольных пользователей. Это позволяет пройти аутентификацию в федеративном поставщике ресурсов (таком как Microsoft 365) под видом любого пользователя без необходимости вводить пароль или проходить многофакторную аутентификацию.

  2. Изменение доверенных доменов в Azure AD для добавления нового федеративного поставщика идентификации (IdP), которым управляет злоумышленник.

  3. Компрометация учетных данных локальных аккаунтов пользователей, синхронизированных с Microsoft 365 и имеющих высокие привилегии.

  4. Взлом существующего приложения Microsoft 365, добавив к нему мошеннические учетные данные, чтобы использовать легитимные разрешения, такие как возможность читать электронную почту, отправлять электронную почту от имени произвольного пользователя, получать доступ к календарям пользователей и пр.