Атака на национальное государство с использованием программного обеспечения SolarWinds вызвала волновой эффект во всей отрасли безопасности, затронув различные организации. И хотя Malwarebytes, разработчик антивирусных решений Malwarebytes Premium и Malwarebytes Free, не использует программное обеспечение SolarWinds, компания, как и многие другие компании, недавно стала мишенью той же группы злоумышленников.
Malwarebytes подтверждает существование еще одного вектора вторжений, который работает путем злоупотребления приложениями с привилегированным доступом к средам Microsoft Office 365 и Azure.
"После тщательного расследования мы определили, что злоумышленник получил доступ только к ограниченному набору внутренней электронной почты компании. Мы не обнаружили свидетельств несанкционированного доступа или взлома ни в одной из наших внутренних локальных и производственных сред", – сообщает компания Malwarebytes.
Как это повлияло на Malwarebytes?
15 декабря была получена информация из Центра реагирования Microsoft Security Response о подозрительной активности стороннего приложения в используемом компанией Microsoft Office 365.
Компания немедленно активировала группу реагирования на инциденты и привлекла группу обнаружения и реагирования Microsoft (DART). Совместно было проведено обширное исследование как облачной, так и локальной среды на предмет любых действий, связанных с вызовами API, вызвавшими первоначальное предупреждение. Расследование показало, что злоумышленники использовали неактивный продукт для защиты электронной почты в клиенте Office 365 компании Malwarebytes, который позволял получить доступ к ограниченному набору внутренней электронной почты компании. Malwarebytes не использует облачные службы Azure в своих производственных средах.
Учитывая характер цепочки поставок атаки SolarWinds и проявляя особую осторожность, компания немедленно провела тщательное расследование всего исходного кода продуктов Malwarebytes, процессов сборки и доставки, включая реверс инжениринг собственного программного обеспечения. Внутренние системы не показали никаких доказательств несанкционированного доступа или взлома в любых локальных и производственных средах. Программное обеспечение Malwarebytes остается безопасным в использовании.
Как заявило Агентство по кибербезопасности и безопасности инфраструктуры США (CISA), злоумышленники не только полагались на атаку цепочки поставок SolarWinds, но и действительно использовали дополнительные средства для компрометации важных целей, используя учетные данные администраторов.
Известно, что в декабре 2020 года хакерской атаке были подвержены сети Министерства финансов и торговли США, Национального управления по телекоммуникациям и информации, Госдепа, министерства внутренней безопасности. Кроме того, атака могла затронуть Министерство энергетики и национальное управление по ядерной безопасности.
Атаку связывают с хакерской группой АРТ29, другое название Cozy Bear.
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов