Malwarebytes a déclaré mardi qu’il avait été violé par le même groupe qui avait pénétré par effraction dans SolarWinds pour accéder à certains de ses e-mails internes, ce qui en faisait le quatrième fournisseur majeur de cybersécurité à être ciblé après FireEye, Microsoft et CrowdStrike.

La société a déclaré que son intrusion n’était pas le résultat d’un compromis SolarWinds, mais plutôt d’un vecteur d’accès initial distinct qui fonctionne en « abusant des applications avec un accès privilégié aux environnements Microsoft Office 365 et Azure ».

La découverte a été faite après que Microsoft a notifié à Malwarebytes une activité suspecte d’une application de protection de messagerie dormante dans son Locataire Office 365 le 15 décembre, après quoi il a mené une enquête détaillée sur l’incident.

«Bien que Malwarebytes n’utilise pas SolarWinds, nous, comme de nombreuses autres entreprises, avons récemment été ciblés par le même acteur de la menace», a déclaré Marcin Kleczynski, PDG de la société. m’a dit dans un post. « Nous n’avons trouvé aucune preuve d’accès non autorisé ou de compromis dans l’un de nos environnements internes sur site et de production. »

Le fait que des vecteurs initiaux au-delà du logiciel SolarWinds aient été utilisés ajoute une autre pièce manquante à la vaste campagne d’espionnage, que l’on pense maintenant être menée par un acteur menaçant nommé UNC2452 (ou Dark Halo), probablement de Russie.

En effet, l’agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a déclaré plus tôt ce mois-ci avoir trouvé des preuves de vecteurs d’infection initiaux en utilisant des failles autres que la plate-forme SolarWinds Orion, y compris la détermination de mot de passe, la pulvérisation de mot de passe et des informations d’identification administratives sécurisées de manière inappropriée accessibles via des services d’accès à distance externes. .

«Nous pensons que notre locataire a été accédé à l’aide de l’un des TTP publiés dans l’alerte CISA», a expliqué Kleczynski dans un Reddit fil.

Malwarebytes a déclaré l’acteur de la menace a ajouté un certificat auto-signé avec les informations d’identification du compte de service principal, en l’utilisant ensuite pour passer des appels API pour demander des e-mails via Microsoft Graph.

La nouvelle intervient dans la foulée d’une quatrième souche de malware appelée Raindrop qui a été trouvée déployée sur certains réseaux victimes, élargissant l’arsenal d’outils utilisés par l’acteur menaçant dans l’attaque tentaculaire de la chaîne d’approvisionnement SolarWinds.

FireEye, pour sa part, a également publié un aperçu détaillé des tactiques adoptées par l’acteur Dark Halo, notant que les attaquants ont exploité une combinaison de pas moins de quatre techniques pour se déplacer latéralement vers le cloud Microsoft 365.

• Voler le certificat de signature de jetons des services de fédération Active Directory (AD FS) et l’utiliser pour forger des jetons pour des utilisateurs arbitraires
• Modifiez ou ajoutez des domaines approuvés dans Azure AD pour ajouter un nouveau fournisseur d’identité fédéré (IdP) contrôlé par l’attaquant.
• Compromettre les informations d’identification des comptes d’utilisateurs locaux qui sont synchronisés avec Microsoft 365 qui ont des rôles d’annuaire à privilèges élevés, et
• Backdoor une application Microsoft 365 existante en ajoutant une nouvelle application

La société appartenant à Mandiant a également publié un script d’audit, appelé Investigateur Azure AD, qui pourrait aider les entreprises à vérifier leurs locataires Microsoft 365 pour des indicateurs de certaines des techniques utilisées par les pirates de SolarWinds.