< p class = "meta"> Av Chris Duckett | 28 juni 2021 – 05:14 GMT (06:14 BST) | Ämne: Säkerhet
Bild: Getty Images/iStockphoto
Den ryssstödda gruppen, Nobelium, som fick kännedom om SolarWinds supply chain hack – en attack som såg en bakdörr planterad i tusentals organisationer innan han nappade nio amerikanska federala byråer och cirka 100 amerikanska företag för att faktiskt kompromissa och stjäla information från – har nu träffat Microsoft själv.
I en uppdatering på fredagen sa Microsoft att de hittade “informationsstöld av skadlig kod” på maskinen hos en av sina supportagenter som hade tillgång till “grundläggande kontoinformation för ett litet antal av våra kunder”.
“Skådespelaren använde denna information i vissa fall för att starta riktade attacker som en del av deras bredare kampanj. Vi svarade snabbt, tog bort åtkomst och säkrade enheten”, säger företaget.
“Undersökningen pågår, men vi kan bekräfta att våra supportagenter är konfigurerade med den minsta uppsättning behörigheter som krävs som en del av vår Zero Trust” minst privilegierade åtkomst “-metod till kundinformation. Vi meddelar alla berörda kunder och stöder dem till se till att deras konton förblir säkra. ”
Microsoft rekommenderade att använda flerfaktorautentisering och noll tillitarkitekturer för att skydda miljöer.
Redmond varnade nyligen för att Nobelium genomförde en phishing-kampanj som imiterar USAID efter att det lyckats ta kontroll över ett USAID-konto på e-postmarknadsföringsplattformen Constant Contact.
Nätfiske-kampanjen riktade sig till cirka 3 000 konton kopplade till myndigheter, tankesmedjor, konsulter och icke-statliga organisationer, sa Microsoft.
I sin fredagsuppdatering sa Microsoft att de har fortsatt att se “lösenordsspray och brute-force attacker”.
“Den här senaste aktiviteten misslyckades mest och majoriteten av målen komprometterades inte framgångsrikt – vi är medvetna om tre komprometterade enheter hittills”, heter det.
“Alla kunder som komprometteras eller riktas in kontaktas via vår anmälningsprocess från nationen.”
Malware tog sig igenom normal Microsoft-drivrutinssigneringsprocess
I ett andra fredagsinlägg medgav Microsoft att en skadlig drivrutin har lyckats bli signerad av mjukvarugiganten.
“Skådespelarens aktivitet är begränsad till spelbranschen specifikt i Kina och verkar inte vara inriktad på företagsmiljöer. Vi tillskriver inte detta till en nationell aktör just nu”, säger företaget.
“Skådespelarens mål är att använda föraren för att förfalska sin geografiska plats för att fuska systemet och spela var som helst. Skadlig programvara gör det möjligt för dem att få en fördel i spel och eventuellt utnyttja andra spelare genom att kompromissa med sina konton genom vanliga verktyg som keyloggers.”
Som ett resultat av händelsen sa Microsoft att de skulle “förfina” sina policyer, validering och signeringsprocesser.
Microsoft lade till att drivrutinerna skulle blockeras genom sina Defender-applikationer.
Medan Microsoft kallade skadlig programvara en drivrutin, märkte Karsten Hahn från G Data, som upptäckte Netfilter-skadlig programvara, det som ett rootkit.
“I skrivande stund är det fortfarande okänt hur föraren kunde klara signeringsprocessen”, skrev han.
Hahn sa att sökande i Virustotal producerade provsignaturer tillbaka till mars.
Netfilter har en uppdateringsmekanism efter att ha träffat en viss IP-adress, installerat ett rootcertifikat och uppdaterat proxyinställningar, säger Hahn.
Microsoft sa att för att attacken ska fungera måste angriparna ha administratörsbehörighet för att installationsprogrammet ska uppdatera registernycklar och installera drivrutinen eller övertyga användaren att göra det själva.
Relaterad täckning
Microsoft varnar för nuvarande Nobelium-nätfiske-kampanj som imiterar USAIDJustice Department beslagtar domäner som används i Nobelium-USAID-nätfiske-kampanjInnovation Oz-stil: Ta en världsledande säker kärna och sparka den till trottoarkantenBurnt av SolarWinds ge sig på? USA släpper verktyg för upptäckt efter kompromissMimecast avslöjar källkodstöld i SolarWinds hackMicrosoft: Vi har hittat ytterligare tre skadliga program som används av SolarWinds angripare
Relaterade ämnen:
Microsoft Security TV Data Management CXO Data Centers