Microsoft-ondersteuningsagent en enkele basisgegevens van klanten getroffen door aanvallers van SolarWinds

0
111

Chris Duckett < p class="meta"> Door Chris Duckett | 28 juni 2021 — 05:14 GMT (06:14 BST) | Onderwerp: Beveiliging

Zakenvrouw in headset callcenter agent raadpleegt deelnemende videoconferentie

Afbeelding: Getty Images/iStockphoto

De door Rusland gesteunde groep Nobelium, die bekendheid verwierf voor de toeleveringsketen-hack van SolarWinds — een aanval waarbij een achterdeur werd geplant in duizenden organisaties voordat negen Amerikaanse federale agentschappen en ongeveer 100 Amerikaanse bedrijven werden uitgekozen om daadwerkelijk informatie te compromitteren en te stelen van — heeft nu Microsoft zelf getroffen.

In een update op vrijdag zei Microsoft dat het “informatiestelende malware” had gevonden op de computer van een van zijn ondersteuningsagenten die toegang had tot “basisaccountinformatie voor een klein aantal van onze klanten”.

“De acteur gebruikte deze informatie in sommige gevallen om zeer gerichte aanvallen uit te voeren als onderdeel van hun bredere campagne. We reageerden snel, verwijderden de toegang en beveiligden het apparaat”, aldus het bedrijf.

“Het onderzoek is aan de gang, maar we kunnen bevestigen dat onze ondersteuningsagenten zijn geconfigureerd met de minimale set machtigingen die vereist zijn als onderdeel van onze Zero Trust 'minst bevoorrechte toegang'-benadering tot klantinformatie. We brengen alle getroffen klanten op de hoogte en ondersteunen hen om ervoor zorgen dat hun accounts veilig blijven.”

Microsoft raadde het gebruik van multi-factor authenticatie en zero trust-architecturen aan om omgevingen te helpen beschermen.

Redmond waarschuwde onlangs dat Nobelium een ​​phishing-campagne voerde die zich voordeed als USAID nadat het de controle had gekregen over een USAID-account op het e-mailmarketingplatform Constant Contact.

De phishing-campagne was gericht op ongeveer 3.000 accounts die gelinkt zijn aan overheidsinstanties, denktanks, consultants en niet-gouvernementele organisaties, aldus Microsoft.

In de update van vrijdag zei Microsoft dat het “wachtwoordspray en brute-force-aanvallen” bleef zien.

“Deze recente activiteit was meestal niet succesvol, en de meeste doelwitten werden niet succesvol gecompromitteerd — we zijn op de hoogte van drie gecompromitteerde entiteiten tot nu toe”, aldus het.

“Alle klanten die zijn gecompromitteerd of het doelwit zijn, worden gecontacteerd via ons meldingsproces voor de nationale staat.”

Malware heeft zijn weg gevonden door het normale Microsoft-ondertekeningsproces voor stuurprogramma's

In een tweede bericht op vrijdag gaf Microsoft toe dat een kwaadaardig stuurprogramma is ondertekend door de softwaregigant.

“De activiteit van de acteur is beperkt tot de gamingsector, specifiek in China, en lijkt zich niet te richten op bedrijfsomgevingen. We schrijven dit op dit moment niet toe aan een nationale actor”, aldus het bedrijf.

“Het doel van de acteur is om de driver te gebruiken om hun geografische locatie te vervalsen om het systeem te bedriegen en overal te kunnen spelen. De malware stelt hen in staat om een ​​voordeel te behalen in games en mogelijk andere spelers uit te buiten door hun accounts te compromitteren via algemene tools zoals keyloggers.”

Als gevolg van het incident zei Microsoft dat het zijn beleid, validatie en ondertekeningsprocessen zou “verfijnen”.

Microsoft voegde toe dat de stuurprogramma's zouden worden geblokkeerd via zijn Defender-applicaties.

Terwijl Microsoft de malware een stuurprogramma noemde, bestempelde Karsten Hahn van G Data, die de Netfilter-malware ontdekte, het als een rootkit.

“Op het moment van schrijven is het nog onbekend hoe de chauffeur het ondertekeningsproces heeft kunnen doorstaan”, schreef hij.

Hahn zei dat het zoeken naar Virustotal voorbeeldhandtekeningen heeft opgeleverd die teruggaan tot maart.

Netfilter heeft een updatemechanisme na het raken van een bepaald IP-adres, installeert een rootcertificaat en werkt proxy-instellingen bij, zei Hahn.

Microsoft zei dat om de aanval te laten werken, de aanvallers beheerdersrechten moeten hebben zodat het installatieprogramma de registersleutels kan bijwerken en het stuurprogramma kan installeren, of de gebruiker kan overtuigen om het zelf te doen.

Gerelateerde dekking

Microsoft waarschuwt voor huidige Nobelium phishing-campagne die zich voordoet als USAIDJustice Department neemt domeinen in beslag die worden gebruikt in Nobelium-USAID phishing-campagne aanval? VS brengt tool uit voor detectie na compromisMimecast onthult diefstal van broncode in SolarWinds-hackMicrosoft: we hebben nog drie stukjes malware gevonden die door de aanvallers van SolarWinds worden gebruikt

Verwante onderwerpen:

Microsoft Security TV Data Management CXO-datacenters Chris Duckett

Door Chris Duckett | 28 juni 2021 — 05:14 GMT (06:14 BST) | Onderwerp: Beveiliging