این شرکت اعلام داشت روز سه شنبه توسط همان گروهی که برای دسترسی به برخی از ایمیل‌های داخلی به SolarWinds نفوذ کرده بودند، مورد نفوذ قرار گرفته است، این چهارمین کمپانی امنیت سایبری بزرگ است که پس از FireEye ، Microsoft و CrowdStrike مورد هدف قرار گرفته است.

برای دیدن سایز بزرگ روی عکس کلیک کنید نام: Malwarebytes.jpg مشاهده: 29 حجم: 10.4 کیلو بایت

این شرکت گفت که نفوذ آن در نتیجه دسترسی اولیه‌ای است که با سوءاستفاده از برنامه‌های کاربردی با دسترسی ممتاز به Microsoft Office 365 و محیط‌های Azure کار می‌کند.

این کشف پس از آن انجام شد که مایکروسافت در تاریخ ۱۵ دسامبر به Malwarebytes از فعالیت مشکوک یک برنامه محافظت از ایمیل غیرفعال در آفیس ۳۶۵ خود اطلاع داد و متعاقب آن تحقیق مفصلی درباره این حادثه انجام داد.
مدیرعامل شرکت، مارکین کلچینسکی در پستی گفت: در حالی که Malwarebytes از SolarWinds استفاده نمی‌کند اما ما نیز مانند بسیاری از شرکت‌های دیگر اخیراً توسط همین عامل تهدید هدف قرار گرفتیم. ما هیچ شواهدی از دسترسی غیرمجاز در هیچ یک از محیط‌های داخلی و محصولات داخلی خود پیدا نکردیم.

اکنون اعتقاد بر این است که این حملات توسط یک هکر به نام UNC2452 (یا Halo Dark) و احتمالاً از روسیه انجام شده است.

در واقع آژانس امنیت سایبری و زیرساخت های ایالات متحده (CISA) در اوایل ماه جاری اعلام کرد که شواهدی از ناقلین اولیه بدافزار با استفاده از نقص دیگری غیر از سیستم‌عامل SolarWinds Orion، از جمله حدس رمز عبور، , password spraying و اعتبار نامناسب اداری قابل دسترسی از طریق خدمات دسترسی از راه دور خارجی پیدا کرده است.

Malwarebytes گفت: عامل تهدید یک گواهینامه امضا شده با اعتبارنامه به حساب سرویس اصلی اضافه کرده و سپس از آن برای برقراری تماس API برای درخواست ایمیل از طریق Microsoft Graph استفاده می‌کند.

FireEye به نوبه خود شرح کاملی از تاکتیک‌های Dark Halo را منتشر کرده و خاطرنشان کرده است که مهاجمان از ترکیبی از حدود چهار تکنیک برای Microsoft 365 cloud استفاده کرده‌اند:

  • دزدیدن گواهی امضای رمز (Active Directory Federation Services (AD FS و جعل و استفاده آن برای توکنهای کاربران دلخواه.
  • اصلاح یا اضافه کردن دامنه‌های مورد اطمینان در Azure AD برای اضافه کردن (federated Identity Provider (IdP جدید تحت کنترل مهاجم.
  • به خطر انداختن اعتبار حساب‌های کاربری داخلی که با Microsoft 365 همگام سازی شده‌اند و دارای نقش high privileged directory هستند و
  • با اضافه کردن یک برنامه جدید، یک برنامه موجود Microsoft 365 را Backdoor می‌کند.

دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

84

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *