Siber güvenlik firması Malwarebytes, SolarWinds tedarik zinciri saldırısının arkasındaki tehdit aktörünün bazı şirket e-postalarına erişim sağlayabildiğini doğruladı.
Malwarebytes CEO’su ve kurucu ortağı Marcin Kleczynski, “Malwarebytes SolarWinds kullanmasa da, diğer birçok şirket gibi biz de yakın zamanda aynı tehdit aktörü tarafından hedef alındık” dedi.
Microsoft Office 365 ve Azure ortamlarına ayrıcalıklı erişime sahip uygulamaları kötüye kullanarak çalışan başka bir saldırı vektörünün varlığını doğrulayabiliriz.
“Kapsamlı bir araştırmanın ardından, saldırganın şirket içi e-postaların yalnızca sınırlı bir alt kümesine erişim sağladığını belirledik.”
Ancak Kleczynski, şirketin dahili üretim veya şirket içi ortamlara bir uzlaşma veya yetkisiz erişim kanıtı bulmadığını da sözlerine ekledi.
FBI tarafından yayınlanan ortak bir açıklamaya göre, SolarWinds saldırısının arkasındaki tehdit aktörü StellarParticle (CrowdStrike), UNC2452 (FireEye) ve Dark Halo (Volexity) olarak izleniyor ve muhtemelen Rus destekli bir Advanced Persistent Threat (APT) grubu. CISA, ODNI ve NSA bu ayın başlarında.
Malwarebytes yazılımının kullanımı güvenlidir
Malwarebytes, SolarWinds’i koordine eden tehdit aktörünün, şirketin Microsoft Office 365 ve Azure ortamlarına ayrıcalıklı erişime sahip uygulamaları hacklediğini keşfetti.
Microsoft Güvenlik Yanıt Merkezi’nden 15 Aralık’ta Microsoft Office 365 kiracımızdaki bir üçüncü taraf uygulamasından, SolarWinds saldırılarında yer alan aynı gelişmiş tehdit aktörünün taktikleri, teknikleri ve prosedürleriyle (TTP’ler) tutarlı şüpheli etkinlikler hakkında bilgi aldık “Kleczynski ekledi.
Soruşturma, saldırganların Office 365 kiracımızda, şirket içi e-postaların sınırlı bir alt kümesine erişim sağlayan, hareketsiz bir e-posta koruma ürününden yararlandığını gösteriyor. Üretim ortamlarımızda Azure bulut hizmetlerini kullanmıyoruz.
Tüm Malwarebytes kaynak kodu, derleme ve teslim süreçlerinin” kapsamlı bir analizinin herhangi bir yetkisiz erişim veya uzlaşma belirtisi göstermediği göz önüne alındığında, Malwarebytes yazılımının kullanımı güvenlidir.”
Microsoft Graph hizmeti aracılığıyla erişilen e-postalar
SolarWinds korsanları ayrıca Microsoft Graph hizmet ana hesabına kimlik bilgileriyle birlikte kendi kendine imzalanan bir sertifika ekleyerek Malwarebytes yönetici ve hizmet kimlik bilgilerini hedefledi.
Bu, daha sonra “anahtarı kullanarak kimlik doğrulaması yapmalarına ve MSGraph aracılığıyla e-posta istemek için API çağrıları yapmalarına” izin verdi.
Malwarebytes, Microsoft ve FireEye’ın sistemlerine sızdığını doğruladıktan ve CrowdStrike başarısız bir saldırı girişimini ifşa ettikten sonra, SolarWinds korsanları tarafından hedef alınan dördüncü siber güvenlik firması oldu.
Kleczynski, “Nispeten kısa bir sürede çok fazla bilgi öğrenmiş olsak da, bu kadar çok sayıda yüksek profilli hedefi etkileyen bu uzun ve aktif kampanya hakkında henüz keşfedilecek çok daha fazla şey var.” Dedi.
“Güvenlik şirketlerinin bu gibi zamanlarda büyük sektöre yardımcı olabilecek bilgileri, özellikle de genellikle ulus devlet aktörleriyle ilişkilendirilen bu tür yeni ve karmaşık saldırılarla paylaşmaya devam etmesi zorunludur.”
