Атака на национальное государство с использованием программного обеспечения SolarWinds вызвала волновой эффект во всей отрасли безопасности, затронув различные организации. И хотя Malwarebytes, разработчик антивирусных решений Malwarebytes Premium и Malwarebytes Free, не использует программное обеспечение SolarWinds, компания, как и многие другие компании, недавно стала мишенью той же группы злоумышленников.
Malwarebytes подтверждает существование еще одного вектора вторжений, который работает путем злоупотребления приложениями с привилегированным доступом к средам Microsoft Office 365 и Azure.
"После тщательного расследования мы определили, что злоумышленник получил доступ только к ограниченному набору внутренней электронной почты компании. Мы не обнаружили свидетельств несанкционированного доступа или взлома ни в одной из наших внутренних локальных и производственных сред", – сообщает компания Malwarebytes.
Как это повлияло на Malwarebytes?
15 декабря была получена информация из Центра реагирования Microsoft Security Response о подозрительной активности стороннего приложения в используемом компанией Microsoft Office 365.
Компания немедленно активировала группу реагирования на инциденты и привлекла группу обнаружения и реагирования Microsoft (DART). Совместно было проведено обширное исследование как облачной, так и локальной среды на предмет любых действий, связанных с вызовами API, вызвавшими первоначальное предупреждение. Расследование показало, что злоумышленники использовали неактивный продукт для защиты электронной почты в клиенте Office 365 компании Malwarebytes, который позволял получить доступ к ограниченному набору внутренней электронной почты компании. Malwarebytes не использует облачные службы Azure в своих производственных средах.
Учитывая характер цепочки поставок атаки SolarWinds и проявляя особую осторожность, компания немедленно провела тщательное расследование всего исходного кода продуктов Malwarebytes, процессов сборки и доставки, включая реверс инжениринг собственного программного обеспечения. Внутренние системы не показали никаких доказательств несанкционированного доступа или взлома в любых локальных и производственных средах. Программное обеспечение Malwarebytes остается безопасным в использовании.
Как заявило Агентство по кибербезопасности и безопасности инфраструктуры США (CISA), злоумышленники не только полагались на атаку цепочки поставок SolarWinds, но и действительно использовали дополнительные средства для компрометации важных целей, используя учетные данные администраторов.
Известно, что в декабре 2020 года хакерской атаке были подвержены сети Министерства финансов и торговли США, Национального управления по телекоммуникациям и информации, Госдепа, министерства внутренней безопасности. Кроме того, атака могла затронуть Министерство энергетики и национальное управление по ядерной безопасности.
Атаку связывают с хакерской группой АРТ29, другое название Cozy Bear.
Угрозы безопасности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?