La società di sicurezza informatica Malwarebytes ha annunciato che l’attore di minacce dietro SolarWinds ha anche violato la sua rete: gli hacker hanno violato i suoi sistemi e ottenuto l’accesso alla sua posta elettronica.

Malwarebytes si aggiunge alle società di sicurezza che sono state colpite dagli aggressori di Solarwinds, dopo FireEye, Microsoft e CrowdStrike.

L’intrusione è avvenuta lo scorso anno. La società ha sottolineato che gli hacker hanno sfruttato un altro vettore di attacco e utilizzato il software SolarWinds Orion, compromesso alcuni sistemi interni sfruttando una debolezza in Azure Active Directory e abusato di applicazioni dannose di Office 365.

“Sebbene Malwarebytes non utilizzi SolarWinds, noi, come molte altre società, siamo stati recentemente presi di mira dallo stesso attore di minacce. Possiamo confermare l’esistenza di un altro vettore di intrusione che funziona abusando delle applicazioni con accesso privilegiato agli ambienti Microsoft Office 365 e Azure. Dopo un’indagine approfondita, abbiamo stabilito che l’autore dell’attacco aveva accesso solo a un sottoinsieme limitato di e-mail aziendali interne. Non abbiamo trovato prove di accessi non autorizzati o compromissione in nessuno dei nostri ambienti interni e di produzione”, si legge nel post pubblicato da Malwarebytes.

Malwarebytes ha ricevuto informazioni dal Microsoft Security Response Center il 15 dicembre su attività sospette da un’applicazione di terze parti nel proprio tenant di Microsoft Office 365 coerenti con le tattiche, le tecniche e le procedure (TTP) dello stesso attore di minacce avanzate coinvolto negli attacchi di SolarWinds.

La società ha immediatamente attivato il gruppo di risposta agli incidenti e coinvolto il Microsoft’s Detection and Response Team (DART) ed eseguito un’analisi approfondita degli ambienti cloud e on-premise per qualsiasi attività correlata alle chiamate API che hanno attivato l’avviso iniziale. L’indagine ha indicato che gli aggressori hanno sfruttato un prodotto di protezione della posta elettronica dormiente all’interno del tenant di Office 365 che ha consentito l’accesso a un sottoinsieme limitato di messaggi di posta elettronica aziendali interni.

“Considerando la natura della catena di approvvigionamento dell’attacco SolarWinds e con molta cautela, abbiamo immediatamente eseguito un’indagine approfondita su tutto il codice sorgente, i processi di compilazione e consegna di Malwarebytes, incluso il reverse engineering del nostro software. I nostri sistemi interni non hanno mostrato alcuna prova di accesso non autorizzato o compromissione in alcun ambiente locale e di produzione. Il nostro software rimane sicuro da usare”, concludono gli esperti.

 

https://securityaffairs.co/wordpress/113628/hacking/malwarebytes-solarwinds-attack.html

https://blog.malwarebytes.com/malwarebytes-news/2021/01/malwarebytes-targeted-by-nation-state-actor-implicated-in-solarwinds-breach-evidence-suggests-abuse-of-privileged-access-to-microsoft-office-365-and-azure-environments/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE