Mimecast的新更新顯示，SolarWinds黑客訪問(wèn)了幾個(gè)“有限的”源代碼存儲(chǔ)庫(kù)。

據(jù)SolarWinds公司的最新消息，黑客入侵Mimecast網(wǎng)絡(luò)，作為SolarWinds間諜活動(dòng)的一部分，黑客竊取了這家安全公司的一些源代碼庫(kù)。

這家電子郵件安全公司最初報(bào)告稱，一月份的證書泄露是SolarWinds供應(yīng)鏈攻擊的一部分，該攻擊還襲擊了Microsoft，F(xiàn)ireEye和一些美國(guó)政府機(jī)構(gòu)。

[[389742]]

攻擊者最初被發(fā)現(xiàn)竊取了Mimecast客戶的電子郵件地址和其他聯(lián)系信息，以及某些哈希和加鹽的憑據(jù)。但是，在對(duì)SolarWinds黑客的最新調(diào)查中，Mimecast表示，已經(jīng)發(fā)現(xiàn)的證據(jù)表明攻擊者也可以訪問(wèn)“數(shù)量有限”的源代碼存儲(chǔ)庫(kù)。

但是，Mimecast試圖淡化本次攻擊產(chǎn)生的影響，他們表示：

早在今年1月，微軟就發(fā)現(xiàn)攻擊者已經(jīng)破壞了Mimecast擁有的證書，該證書用于驗(yàn)證Mimecast同步和恢復(fù)(為各種郵件內(nèi)容提供備份)、連續(xù)性監(jiān)視器(監(jiān)視電子郵件流量中斷)和微軟365 Exchange Web服務(wù)的內(nèi)部電子郵件保護(hù)(IEP)產(chǎn)品。

攻擊者使用此證書連接了來(lái)自非Mimecast IP地址范圍的客戶的Microsoft 365租戶的“low single-digit number”。然后，攻擊者利用Mimecast的Windows環(huán)境來(lái)提取位于美國(guó)和英國(guó)的客戶的加密服務(wù)帳戶憑據(jù)。

Mimecast表示：

起初，Mimecast表示，沒(méi)有證據(jù)表明該攻擊者訪問(wèn)了用戶的電子郵件或檔案內(nèi)容。在周二的更新中，該安全公司重申了這一說(shuō)法。然而，攻擊者對(duì)源代碼的訪問(wèn)可以讓他們了解各種產(chǎn)品組件和其他敏感信息。除了Mimecast表示攻擊者訪問(wèn)的源代碼是“不完整的”之外，無(wú)法獲得有關(guān)訪問(wèn)源代碼類型的進(jìn)一步信息，當(dāng)通過(guò)Threatpost訪問(wèn)時(shí)，Mimecast沒(méi)有提供有關(guān)訪問(wèn)源代碼的進(jìn)一步信息。

目前，該公司表示，將通過(guò)在源代碼樹(shù)中實(shí)施其他安全分析措施，繼續(xù)分析和監(jiān)視其源代碼以防止?jié)撛诘貫E用。自攻擊開(kāi)始以來(lái)，Mimecast已發(fā)布了新的證書連接，并建議受影響的客戶切換到該連接;以及刪除和阻止攻擊者訪問(wèn)公司受影響部分(允許的網(wǎng)格環(huán)境)的方式。

后續(xù)攻擊分析

SolarWinds攻擊者還從微軟獲取了源代碼庫(kù)，微軟存儲(chǔ)庫(kù)包含以下代碼：一小部分Azure組件，包括與服務(wù)、安全和身份相關(guān)的組件，一小部分Intune組件和一小部分Exchange組件。Microsoft Intune通過(guò)云提供移動(dòng)設(shè)備管理，移動(dòng)應(yīng)用程序管理和PC管理功能。使用Intune，組織可以從幾乎任何設(shè)備上的幾乎任何位置為其員工提供對(duì)企業(yè)應(yīng)用程序，數(shù)據(jù)和資源的訪問(wèn)，同時(shí)幫助保護(hù)企業(yè)信息的安全。

對(duì)Mimecast的最新攻擊只是SolarWinds大范圍攻擊的最新事件，相信未來(lái)還有相關(guān)的后續(xù)攻擊發(fā)生。

今年1月，美國(guó)的FBI、NSA、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)和國(guó)家情報(bào)總監(jiān)辦公室(ODNI)于聯(lián)合聲明稱，SolarWinds的黑客行為可能來(lái)自俄羅斯。

從去年春天開(kāi)始，這個(gè)后門最初通過(guò)木馬軟件更新被傳播到全球近18000個(gè)組織，包括備受矚目的受害者，如美國(guó)國(guó)土安全部(DHS)、財(cái)政部和商務(wù)部。其他網(wǎng)絡(luò)安全供應(yīng)商，如CrowdStrike、Fidelis、FireEye、Malwarebytes、Palo Alto Networks和Qualys也成為了此次攻擊的目標(biāo)。

一旦嵌入，攻擊者就能夠挑選和選擇進(jìn)一步要攻擊的組織。從那以后，還陸陸續(xù)續(xù)發(fā)現(xiàn)了幾種惡意軟件，這些惡意軟件與SolarWinds黑客背后的攻擊者有關(guān)。 該惡意軟件家族包括：一個(gè)名為GoldMax的后門軟件;一個(gè)叫Sibot的兩用惡意軟件和一個(gè)叫GoldFinder的惡意軟件。除了在這次行動(dòng)中充當(dāng)先鋒的惡意軟件Sunburst外，研究人員在1月份還揭露了另外一些被稱為Raindrop和Teardrop的惡意軟件，它們?cè)谧畛醯拇笠?guī)模Sunburst攻擊后就被用于有針對(duì)性的攻擊。

本文翻譯自：https://threatpost.com/mimecast-solarwinds-attackers-stole-source-code/164847/