對SolarWinds軟體發動攻擊的駭客,在攻擊Malwarebytes、CrowdStrike或微軟的手法上,也是針對這些業者的合作夥伴展開攻擊,但這三家業者並未公布遭駭客利用的供應商名稱。情境示意圖,Photo by boris misevic on unsplash

美國國土安全部旗下的網路安全暨基礎架構安全署(CISA)曾於去年12月中警告,SolarWinds系統並非駭客入侵美國政府及民間企業唯一的切入口,本周資安業者Malwarebytes即指出,他們相信同一批駭客也危害了具備Microsoft Office 365及Azure環境存取權限的第三方應用程式,而Malwarebytes亦為相關攻擊的受害者。

Malwarebytes說明,該公司是在去年的12月15日收到微軟的通知,當時微軟表示在Malwarebytes的Office 365租戶中發現第三方應用程式的可疑行為,且與入侵SolarWinds系統的駭客集團使用一致的攻擊戰術流程(Tactics、Techniques and Procedures,TTP)。

原來駭客開採了Malwarebytes安裝在Office 365租戶中的一個休眠的電子郵件保護產品,該產品可用來存取Malwarebytes有限的內部電子郵件。在這個案例中,駭客於服務的主要帳號中新增了一個具備憑證的自簽名證書,因而得以利用該金鑰與呼叫API,透過MSGraph請求電子郵件。

在經過全面的徹查後,Malwarebytes並未發現其就地部署或生產環境中,有任何遭非法存取或危害的證據,且該公司所建立的軟體也是安全的。

另一資安業者CrowdStrike也在去年12月收到微軟的通知,微軟發現有一個用來管理CrowdStrike之Office授權的經銷商Azure帳號,在數月之前被用來呼叫微軟的雲端APIs,企圖存取CrowdStrike的電子郵件,而且嘗試時間長達17小時,由於CrowdStrike並未使用Office 365的電子郵件功能,因而更顯得異常,且駭客並未得逞。

不管是在SolarWinds,或是微軟Office 365/Azure的案例中,駭客都是藉由開採供應鏈展開攻擊。Malwarebytes、CrowdStrike或微軟皆未公布遭駭客利用的供應商名稱。

熱門新聞

Advertisement