توییت
Malwarebytes روز سه شنبه گفت که توسط همان گروهی که برای دسترسی به برخی از ایمیلهای داخلی به SolarWinds نفوذ کرده بودند، مورد نفوذ قرار گرفته است، این چهارمین کمپانی امنیت سایبری بزرگ است که پس از FireEye ، Microsoft و CrowdStrike مورد هدف قرار گرفته است. 
این شرکت گفت که نفوذ آن در نتیجه دسترسی اولیهای است که با سوءاستفاده از برنامههای کاربردی با دسترسی ممتاز به Microsoft Office 365 و محیطهای Azure کار میکند.
این کشف پس از آن انجام شد که مایکروسافت در تاریخ 15 دسامبر به Malwarebytes از فعالیت مشکوک یک برنامه محافظت از ایمیل غیرفعال در آفیس 365 خود اطلاع داد و متعاقب آن تحقیق مفصلی درباره این حادثه انجام داد.
مدیرعامل شرکت، مارکین کلچینسکی در پستی گفت: در حالی که Malwarebytes از SolarWinds استفاده نمیکند اما ما نیز مانند بسیاری از شرکتهای دیگر اخیراً توسط همین عامل تهدید هدف قرار گرفتیم. ما هیچ شواهدی از دسترسی غیرمجاز در هیچ یک از محیطهای داخلی و محصولات داخلی خود پیدا نکردیم.
اکنون اعتقاد بر این است که این حملات توسط یک هکر به نام UNC2452 (یا Halo Dark) و احتمالاً از روسیه انجام شده است.
در واقع آژانس امنیت سایبری و زیرساخت های ایالات متحده (CISA) در اوایل ماه جاری اعلام کرد که شواهدی از ناقلین اولیه بدافزار با استفاده از نقص دیگری غیر از سیستمعامل SolarWinds Orion، از جمله حدس رمز عبور، , password spraying و اعتبار نامناسب اداری قابل دسترسی از طریق خدمات دسترسی از راه دور خارجی پیدا کرده است.
Malwarebytes گفت: عامل تهدید یک گواهینامه امضا شده با اعتبارنامه به حساب سرویس اصلی اضافه کرده و سپس از آن برای برقراری تماس API برای درخواست ایمیل از طریق Microsoft Graph استفاده میکند.
FireEye به نوبه خود شرح کاملی از تاکتیکهای Dark Halo را منتشر کرده و خاطرنشان کرده است که مهاجمان از ترکیبی از حدود چهار تکنیک برای Microsoft 365 cloud استفاده کردهاند:
این شرکت گفت که نفوذ آن در نتیجه دسترسی اولیهای است که با سوءاستفاده از برنامههای کاربردی با دسترسی ممتاز به Microsoft Office 365 و محیطهای Azure کار میکند.
این کشف پس از آن انجام شد که مایکروسافت در تاریخ 15 دسامبر به Malwarebytes از فعالیت مشکوک یک برنامه محافظت از ایمیل غیرفعال در آفیس 365 خود اطلاع داد و متعاقب آن تحقیق مفصلی درباره این حادثه انجام داد.
مدیرعامل شرکت، مارکین کلچینسکی در پستی گفت: در حالی که Malwarebytes از SolarWinds استفاده نمیکند اما ما نیز مانند بسیاری از شرکتهای دیگر اخیراً توسط همین عامل تهدید هدف قرار گرفتیم. ما هیچ شواهدی از دسترسی غیرمجاز در هیچ یک از محیطهای داخلی و محصولات داخلی خود پیدا نکردیم.
اکنون اعتقاد بر این است که این حملات توسط یک هکر به نام UNC2452 (یا Halo Dark) و احتمالاً از روسیه انجام شده است.
در واقع آژانس امنیت سایبری و زیرساخت های ایالات متحده (CISA) در اوایل ماه جاری اعلام کرد که شواهدی از ناقلین اولیه بدافزار با استفاده از نقص دیگری غیر از سیستمعامل SolarWinds Orion، از جمله حدس رمز عبور، , password spraying و اعتبار نامناسب اداری قابل دسترسی از طریق خدمات دسترسی از راه دور خارجی پیدا کرده است.
Malwarebytes گفت: عامل تهدید یک گواهینامه امضا شده با اعتبارنامه به حساب سرویس اصلی اضافه کرده و سپس از آن برای برقراری تماس API برای درخواست ایمیل از طریق Microsoft Graph استفاده میکند.
FireEye به نوبه خود شرح کاملی از تاکتیکهای Dark Halo را منتشر کرده و خاطرنشان کرده است که مهاجمان از ترکیبی از حدود چهار تکنیک برای Microsoft 365 cloud استفاده کردهاند:
- دزدیدن گواهی امضای رمز (Active Directory Federation Services (AD FS و جعل و استفاده آن برای توکنهای کاربران دلخواه.
- اصلاح یا اضافه کردن دامنههای مورد اطمینان در Azure AD برای اضافه کردن (federated Identity Provider (IdP جدید تحت کنترل مهاجم.
- به خطر انداختن اعتبار حسابهای کاربری داخلی که با Microsoft 365 همگام سازی شدهاند و دارای نقش high privileged directory هستند و
- با اضافه کردن یک برنامه جدید، یک برنامه موجود Microsoft 365 را Backdoor میکند.