Malwarebytes.被Solarwinds攻击者突破了

第四个恶意软件排序 Solarwinds攻击者 赛门铁克研究人员详细介绍,其次是披露袭击者’Agenous横向运动技术和Fireeye研究人员的审计脚本的发布,这些组织可以用来检查他们的微软365租户是否有入侵的迹象。

Malwarebytes.违反了

然后,周二,Malwarebytes首席执行官Marcin Kleczynski披露了同一攻击者的目标和违反了公司,但不是通过受到受损的Solarwinds Orion平台(他们不’t use).

“我们可以通过滥用对Microsoft Office 365和Azure环境的特权访问的应用程序确认存在另一个入侵载体的存在,” he said.

一个新的恶意软件菌株:泪珠

周一,Symantec分享了他们对雨滴的分析的结果,一个装载机,类似于泪珠的后门,提供定制的钴罢工灯座。

与泪珠(Solorion)后门提供的泪珠,雨滴被用于拓展受害者的网络,并且没有证据于森伯斯特直接交付的证据。

“相反,它在网络上的其他地方出现在森伯斯特至少一台计算机已经受到损害的网络上,”研究人员共享。

赛门铁克有 发布 妥协指标(IOC)和雅拉规则,可以派上往维护者。

攻击者使用的技术

fireeye是坚定的公司 首次未覆盖 Solarwinds黑客的活动,并在许多侵犯中具有可见性,使它们允许它们 细节 攻击者(和其他威胁演员)使用的几种方法从目标横向移动’本地网络到Microsoft 365云。

这些包括:

  • 窃取Active Directory联合服务(AD FS)令牌签名证书并使用它来为任意用户伪造令牌(AKA A. 金三星 attack)
  • 修改或添加Azure AD中的可信域以添加新的联合身份提供程序(由攻击者控制)
  • 损害与Microsoft 365同步的本地用户帐户的凭据具有高特权目录角色(例如,全局管理员或应用程序管理员)
  • 通过添加新的应用程序或服务主体凭据来回顾现有的Microsoft 365应用程序,以便使用分配给应用程序的合法权限(例如,阅读电子邮件的能力,将电子邮件发送为任意用户,访问用户日历等)

Fireeye子公司Mandiant已发布 详细说明这些技术,以及检测和修复咨询/策略。他们’ve also released Azure AD调查员,一种用于检测可能是已经利用组织的这些技术的指标的工件的PowerShell工具。

Cisa.还有此前 详细的 其中一些技术,提供有关检测方法的建议,并指出可用于检测最近域身份验证或联合修改的各种工具,检测应用于应用程序和服务主体的新和修改的凭据,从O365和Azure收集数据,以获取安全调查,帮助组织分析他们的Azure广告租户和服务配置等权限。

Malwarebytes.违反了

Malwarebytes.首席执行官Marcin Kleczynski 该公司已被同一国家攻击者突破,这些攻击者袭击和妥协了Solarwinds,但他们没有’T通过受妥协的Solarwinds Orion安装获得访问。

Cisa.先前已发布 安全警报 其中,它说“Solarwinds Orion Supply Chain妥协不是这款APT演员杠杆的唯一初始感染载体。”

“我们在12月15日收到了Microsoft安全响应中心的信息,了解我们的Microsoft Office 365租户中的第三方应用程序的可疑活动,该租户符合同一高级威胁演员的策略,技术和程序(TTPS)涉及Solarwinds攻击,” Kleczynski shared.

“调查表明,攻击者在我们的办公室365租户中利用休眠电子邮件保护产品,允许访问有限的内部公司电子邮件子集。我们在我们的生产环境中不使用Azure Cloud Services。”

更彻底的调查显示,他们的源代码,建立和交付流程以及他们的内部内部内部和生产环境避难所’T被篡改了。

kleczynski没有识别“休眠电子邮件保护产品”攻击者已被剥削。

分享这个