Дослідники з кібербезпеки з фірми Malwarebytes підтвердили, що кіберзлочинці, відповідальні за атаку на ланцюжок поставок SolarWinds, змогли отримати доступ до електронної пошти компанії.

“Не зважаючи на те, що Malwarebytes не використовує ПЗ SolarWinds, ми, як і багато інших компаній, нещодавно зазнали нападу того ж зловмисника. Ми можемо підтвердити існування ще одного вектора атак, який передбачає зловживання додатками з привілейованим доступом до середовища Microsoft Office 365 і Azure”, – повідомив генеральний директор і співзасновник Malwarebytes Marcin Kleczynski.

За словами експертів, 15 грудня вони отримали повідомлення від Microsoft Security Response Center про підозрілу активність стороннього додатка в клієнті Microsoft Office 365, що відповідає тактиці, методам і процедурам тих же самих злочинців, які брали участь в атаках на SolarWinds. Як показали результати розслідування, зловмисники скористалися уразливістю Azure Active Directory, яка дозволила отримати доступ до обмеженого набору внутрішньої електронної пошти компанії.

З огляду на характер атаки на SolarWinds і з особливою обережністю фахівці негайно провели ретельне дослідження всього вихідного коду Malwarebytes. Внутрішні системи не показали жодних свідчень несанкціонованого доступу або зламу в будь-яких локальних і виробничих середовищах. Програмне забезпечення безпечне для використання, запевнили дослідники.

Зважаючи на розслідувань, фахівці FireEye випустили інструмент для аудиту мереж на предмет технік, що використовуються хакерами підчас зламу мереж SolarWinds. Безкоштовний інструмент під назвою Azure AD Investigator покликаний допомогти компаніям визначити, чи використовували хакери SolarWinds будь-які з цих методів в їх мережах.

FireEye також випустила звіт, в якому описала етапи атаки:

  • Розкрадання сертифіката для підпису токена Active Directory Federation Services (AD FS) і використання його для підробки токенів для довільних користувачів. Це дозволяє пройти аутентифікацію постачальника ресурсів (такому як Microsoft 365) під виглядом будь-якого користувача без необхідності вводити пароль або проходити багатофакторну аутентифікацію.
  • Зміна довірених доменів в Azure AD для додавання нового федеративного постачальника ідентифікації (IdP), яким керує зловмисник.
  • Компрометація облікових даних локальних екаунтів користувачів, синхронізованих із Microsoft 365, які мають високі привілеї.
  • Злам наявної програми Microsoft 365, додавши до нього шахрайські облікові дані, щоб використовувати легітимні дозволи, такі як можливість читати електронну пошту, відправляти електронну пошту від імені довільного користувача, отримувати доступ до календарів користувачів тощо.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як використовувати “Швидкі команди” на Apple Watch? – ІНСТРУКЦІЯ

Як змінити обліковий запис Google за замовчуванням на комп’ютері? – ІНСТРУКЦІЯ

Як використовувати Google Duo для здійснення відеодзвінків? – ІНСТРУКЦІЯ

Як додавати, редагувати або видаляти збережені паролі в Microsoft Edge? – ІНСТРУКЦІЯ

Як швидко очистити всі сповіщення на Mac? ІНСТРУКЦІЯ

Нагадаємо, американське розвідувальне співтовариство офіційно звинувачує російських хакерів у зламі SolarWinds. Підозрюють, що російські хакери, які фінансуються державою, зламали ІТ-компанію SolarWinds, яку вони потім використали як стартовий майданчик для проникнення в кілька урядових відомств США

Також дослідники з безпеки виявили нову родину програм-вимагачів, яка націлилася на корпоративні мережі, та попередили, що професійні кіберзлочинці вже вдарили по декількох організаціях за допомогою схеми шифрування файлів.

Окрім цього, браузер Edge буде постійно звіряти інформацію з базами даних про розсекречені логіни і паролі – користувачі отримуватимуть інформацію у разі виявлення діяльності з боку кібершахраїв. Також власникам пристроїв надаватимуть поради, що дозволяють змінити конфіденційні дані з метою збереження високого рівня безпеки.

За останніми даними, один із найбезпечніших месенджерів Signal набуває популярності як в Україні, так і в США. Навіть Ілон Маск підтримав хвилю популярності і порадив користуватися Signal у себе в Твіттері. У чому його переваги, читайте у статті.