Mimecast, SolarWinds Hacker’larının Kaynak Kodunun Bir Kısmını Çaldığını Buldu

E-posta güvenlik firması Mimecast Salı günü, dahili ağına giren devlet destekli SolarWinds korsanlarının sınırlı sayıda depodan kaynak kodunu da indirdiğini açıkladı.

“Tehdit aktörü, e-posta adreslerinin ve diğer iletişim bilgilerinin bir alt kümesine erişti ve kimlik bilgilerine hashing uyguladı,” dedi şirket , araştırmasının ayrıntılarını içeren bir yazıda, düşman “sınırlı sayıda kaynak kodu havuzumuza erişti ve indirdi,” Tehdit aktörünün SolarWinds Orion tedarik zinciri saldırısının diğer kurbanlarıyla yaptığı bildirildi. “

Ancak Mimecast, saldırganlar tarafından indirilen kaynak kodun eksik olduğunu ve Mimecast hizmetinin herhangi bir yönünü oluşturmak ve çalıştırmak için yetersiz olacağını ve tehdit aktörü tarafından çalıştırılabilir dosyalar ile ilişkili oluşturma sürecine yapılan herhangi bir kurcalama belirtisi bulmadığını söyledi. müşterilerine dağıtılır.

12 Ocak tarihinde, Mimecast ifşa o “sofistike tehdit aktör” sıkıca Microsoft’a 365 (M365) Değişim ürünlerini bağlamak için belirli müşterilere sağlanan bir dijital sertifika tehlikeye ettiğini.

Haftalar sonra, şirket olayı SolarWinds toplu istismar kampanyasına bağlayarak, tehdit aktörünün ABD ve Birleşik Krallık’ta barındırılan müşteriler tarafından oluşturulan belirli şifreli hizmet hesabı kimlik bilgilerine eriştiğini ve muhtemelen sızdığını belirtti.

İzinsiz girişin, truva atı haline getirilmiş SolarWinds Orion yazılım güncellemeleri aracılığıyla devreye alınan Sunburst arka kapısının bir sonucu olarak ortaya çıktığını kaydeden şirket, ilk erişim noktasından az sayıda Windows sunucusu içeren üretim ızgara ortamına yanal hareket gözlemlediğini söyledi. tehdit aktörüne atfedilen saldırı modeliyle tutarlı.

Çalınan sertifikayı kullanan müşterilerin tam sayısı bilinmemekle birlikte, şirket Ocak ayında “müşterilerimizin M365 kiracılarının düşük bir tek haneli rakamının hedeflendiğini” söyledi.

Rus kökenli olduğu iddia edilen SolarWinds tedarik zinciri saldırılarının arkasındaki tehdit aktörü, UNC2452 (FireEye), Dark Halo (Volexity), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) ve Nobelium (Microsoft).Mandiant’ı olay müdahale çabalarına liderlik etmesi için halatlamış olan Mimecast, soruşturmayı bu ayın başlarında sonuçlandırdığını söyledi.

Şirket, bir dizi karşı önlemin bir parçası olarak, tehlikeye atılan Windows sunucularını tamamen değiştirdiğini, depolanan tüm kimlik bilgileri için şifreleme algoritma gücünü yükselttiğini, depolanan tüm sertifikaların ve şifreleme anahtarlarının gelişmiş bir şekilde izlenmesini sağladığını ve SolarWinds Orion’un kullanımdan kaldırıldığını kaydetti.

Kaynak : thehackernews

>>Diğer Haberler İçin Tıklayınız

En son haberler

İlgili haberler