Хакеры использовали приложения с привилегированным доступом к средам Microsoft Office 365 и Azure.

Исследователи безопасности из ИБ-фирмы Malwarebytes подтвердили , что киберпреступники, ответственные за атаку на цепочку поставок SolarWinds, смогли получить доступ к электронной почте компании.

«Несмотря на то, что Malwarebytes не использует ПО SolarWinds, мы, как и многие другие компании, недавно подверглись нападению того же злоумышленника. Мы можем подтвердить существование еще одного вектора атак, предполагающего злоупотребление приложениями с привилегированным доступом к средам Microsoft Office 365 и Azure», — сообщил генеральный директор и соучредитель Malwarebytes Марцин Клечински (Marcin Kleczynski).

По словам экспертов, 15 декабря они получили уведомление от Microsoft Security Response Center о подозрительной активности стороннего приложения в клиенте Microsoft Office 365, соответствующей тактике, методам и процедурам тех же самых преступников, которые участвовали в атаках на SolarWinds. Как показали результаты расследования, злоумышленники воспользовались уязвимостью Azure Active Directory, которая позволила получить доступ к ограниченному набору внутренней электронной почты компании.

Учитывая характер атаки на цепочки поставок SolarWinds и проявляя особую осторожность, специалисты немедленно провели тщательное исследование всего исходного кода Malwarebytes, процессов сборки и доставки, включая обратное проектирование их собственного программного обеспечения. Внутренние системы не показали никаких свидетельств несанкционированного доступа или взлома в любых локальных и производственных средах. Программное обеспечение безопасно для использования, заверили исследователи.

На фоне текущих расследований, специалисты FireEye выпустили инструмент для аудита сетей на предмет техник, используемых хакерами в ходе взлома сетей SolarWinds. Бесплатный инструмент под названием Azure AD Investigator призван помочь компаниям определить, использовали ли хакеры SolarWinds какие-либо из этих методов в их сетях.

FireEye также выпустила отчет, в котором описала этапы атаки:

  1. Хищение сертификата для подписи токена Active Directory Federation Services (AD FS) и использование его для подделки токенов для произвольных пользователей. Это позволяет пройти аутентификацию в федеративном поставщике ресурсов (таком как Microsoft 365) под видом любого пользователя без необходимости вводить пароль или проходить многофакторную аутентификацию.
  2. Изменение доверенных доменов в Azure AD для добавления нового федеративного поставщика идентификации (IdP), которым управляет злоумышленник.
  3. Компрометация учетных данных локальных аккаунтов пользователей, синхронизированных с Microsoft 365 и имеющих высокие привилегии.
  4. Взлом существующего приложения Microsoft 365, добавив к нему мошеннические учетные данные, чтобы использовать легитимные разрешения, такие как возможность читать электронную почту, отправлять электронную почту от имени произвольного пользователя, получать доступ к календарям пользователей и пр.

Источник: securitylab