Malwarebytes dijo el martes que fue violado por el mismo grupo que irrumpió en SolarWinds para acceder a algunos de sus correos electrónicos internos, lo que lo convierte en el cuarto proveedor principal de ciberseguridad en ser atacado después de FireEye, Microsoft y CrowdStrike.

La compañía dijo que su intrusión no fue el resultado de un compromiso de SolarWinds, sino más bien debido a un vector de acceso inicial separado que funciona «abusando de las aplicaciones con acceso privilegiado a los entornos de Microsoft Office 365 y Azure».

El descubrimiento se realizó después de que Microsoft notificara a Malwarebytes sobre actividad sospechosa de una aplicación de protección de correo electrónico inactiva dentro de su inquilino de Office 365 el 15 de diciembre, luego de lo cual realizó una investigación detallada del incidente.

«Si bien Malwarebytes no usa SolarWinds, nosotros, como muchas otras empresas, fuimos atacados recientemente por el mismo actor de amenazas», dijo el director general de la empresa, Marcin Kleczynski, en una publicación. «No encontramos evidencia de acceso no autorizado o compromiso en ninguno de nuestros entornos internos locales y de producción».

El hecho de que se usaran vectores iniciales más allá del software SolarWinds agrega otra pieza faltante a la campaña de espionaje de amplio alcance, que ahora se cree que lleva a cabo un actor de amenazas llamado UNC2452 (o Dark Halo), probablemente de Rusia.

De hecho, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) dijo a principios de este mes que encontró evidencia de vectores de infección iniciales que usaban fallas distintas a la plataforma SolarWinds Orion, incluida la adivinación de contraseñas, el rociado de contraseñas y credenciales administrativas protegidas de manera inapropiada accesibles a través de servicios externos de acceso remoto. .

«Creemos que se accedió a nuestro inquilino mediante uno de los TTP que se publicaron en la alerta CISA», explicó Kleczynski en un hilo de Reddit.

Malwarebytes dijo que el actor de amenazas agregó un certificado autofirmado con credenciales a la cuenta de servicio principal, posiblemente usándolo para realizar llamadas API para solicitar correos electrónicos a través de Microsoft Graph.

La noticia llega inmediatamente después de una cuarta cepa de malware llamada Raindrop que se encontró desplegada en redes de víctimas seleccionadas, ampliando el arsenal de herramientas utilizadas por el actor de amenazas en el extenso ataque a la cadena de suministro de SolarWinds.

FireEye, por su parte, ha publicado un resumen detallado de las tácticas adoptadas por el actor de Dark Halo, señalando que los atacantes aprovecharon una combinación de hasta cuatro técnicas para moverse lateralmente a la nube de Microsoft 365.

• Robar el certificado de firma de tokens de Active Directory Federation Services (AD FS) y usarlo para falsificar tokens para usuarios arbitrarios
• Modifique o agregue dominios de confianza en Azure AD para agregar un nuevo proveedor de identidad (IdP) federado que controla el atacante.
• Comprometer las credenciales de las cuentas de usuario locales que están sincronizadas con Microsoft 365 que tienen funciones de directorio con muchos privilegios, y
• Puerta trasera de una aplicación de Microsoft 365 existente agregando una nueva aplicación

La firma propiedad de Mandiant también lanzó un script de auditoría, llamado Azure AD Investigator, que dijo que puede ayudar a las empresas a verificar sus inquilinos de Microsoft 365 en busca de indicadores de algunas de las técnicas utilizadas por los piratas informáticos de SolarWinds.