La firma estadounidense de ciberseguridad Malwarebytes reveló que fue atacada por el mismo actor de amenazas que pirateó la compañía de software de TI SolarWinds el año pasado.
Malwarebytes dijo que la intrusión no está relacionada con el software SolarWinds sino con otro vector de ataque que involucra el abuso de aplicaciones con acceso privilegiado a los entornos de Microsoft Office 365 y Azure. Una investigación sobre el incidente reveló que el intruso solo obtuvo acceso a un subconjunto limitado de correos electrónicos internos de la empresa, los entornos internos en las instalaciones y de producción no se vieron afectados.
“Recibimos información del Centro de Respuesta de Seguridad de Microsoft el 15 de diciembre sobre actividad sospechosa de una aplicación de terceros en nuestro inquilino de Microsoft Office 365 consistente con las tácticas, técnicas y procedimientos (TTP) del mismo actor de amenazas avanzadas involucrado en los ataques de SolarWinds ”, Dijo el director ejecutivo y cofundador de Malwarebytes, Marcin Kleczynski, en una publicación de blog.
La investigación mostró que los piratas informáticos utilizaron un producto de protección de correo electrónico inactivo dentro del inquilino de Office 365 de la empresa que permitía el acceso a un subconjunto limitado de correos electrónicos internos. El actor de amenazas agregó un certificado autofirmado con credenciales a la cuenta principal del servicio. Desde allí, pueden autenticarse usando la clave y hacer llamadas a la API para solicitar correos electrónicos a través de MSGraph.
“Teniendo en cuenta la naturaleza de la cadena de suministro del ataque SolarWinds, y con mucha precaución, inmediatamente realizamos una investigación exhaustiva de todo el código fuente de Malwarebytes, los procesos de construcción y entrega, incluida la ingeniería inversa de nuestro propio software. Nuestros sistemas internos no mostraron evidencia de acceso no autorizado o compromiso en ningún entorno local y de producción. Nuestro software sigue siendo seguro de usar ”, agregó Kleczynski.
El actor de amenazas detrás de la violación de SolarWinds se rastrea como StellarParticle (CrowdStrike), UNC2452 (FireEye) y Dark Halo (Volexity), y se cree que es un grupo de amenazas persistentes avanzadas (APT) respaldado por Rusia.
La investigación de FireEye sobre su propia violación el mes pasado reveló que los piratas informáticos habían infectado el software Orion de SolarWinds utilizado por agencias gubernamentales y empresas privadas con código malicioso, lo que permitió a los atacantes comprometer aún más las redes informáticas.
SolarWinds estima que hasta 18.000 de sus clientes pueden haber recibido actualizaciones infectadas, aunque se cree que el número de empresas directamente afectadas es mucho menor.
https://www.cybersecurity-help.cz/blog/1878.html
