< p class = "meta"> Av Chris Duckett | 28. juni 2021 – 05:14 GMT (06:14 BST) | Emne: Sikkerhet
Bilde: Getty Images/iStockphoto
Den russiskstøttede gruppen, Nobelium, som ble kjent for SolarWinds supply chain hack – et angrep som så en bakdør plantet i tusenvis av organisasjoner før de kirsebærplukket ni amerikanske føderale byråer og rundt 100 amerikanske selskaper for å faktisk kompromittere og stjele informasjon fra – har nå truffet Microsoft selv.
I en oppdatering på fredag sa Microsoft at de fant “informasjons stjele skadelig programvare” på maskinen til en av sine supportagenter som hadde tilgang til “grunnleggende kontoinformasjon for et lite antall av våre kunder”.
“Skuespilleren brukte denne informasjonen i noen tilfeller for å sette i gang høyt målrettede angrep som en del av deres bredere kampanje. Vi svarte raskt, fjernet tilgangen og sikret enheten,” sa selskapet.
“Etterforskningen pågår, men vi kan bekrefte at våre supportagenter er konfigurert med det minimale settet med tillatelser som kreves som en del av vår Zero Trust 'minst privilegerte tilgang' tilnærming til kundeinformasjon. Vi varsler alle berørte kunder og støtter dem til sikre at kontoene forblir sikre. ”
Microsoft anbefalte å bruke flerfaktorautentisering og null tillitsarkitekturer for å beskytte miljøer.
Redmond advarte nylig om at Nobelium gjennomførte en phishing-kampanje som imiterte USAID etter at den klarte å ta kontroll over en USAID-konto på e-postmarkedsføringsplattformen Constant Contact.
Phishing-kampanjen målrettet rundt 3000 kontoer knyttet til offentlige etater, tenketanker, konsulenter og ikke-statlige organisasjoner, sa Microsoft.
I sin fredagsoppdatering sa Microsoft at de har fortsatt å se “passordspray og brute-force angrep”.
“Denne nylige aktiviteten mislyktes stort sett, og flertallet av målene ble ikke kompromittert – vi er klar over tre kompromitterte enheter til dags dato,” het det.
“Alle kunder som ble kompromittert eller målrettet blir kontaktet gjennom vår nasjonalstatlige varslingsprosess.”
Malware kom seg gjennom normal Microsoft-signeringsprosess for drivere
I et andre fredaginnlegg innrømmet Microsoft at en ondsinnet driver har klart å bli signert av programvaregiganten.
“Skuespillerens aktivitet er begrenset til spillsektoren spesielt i Kina og ser ikke ut til å være målrettet mot bedriftsmiljøer. Vi tilskriver dette ikke en nasjonalstatens aktør på dette tidspunktet,” sa selskapet.
“Skuespillerens mål er å bruke sjåføren til å forfalske deres geografiske plassering for å jukse systemet og spille hvor som helst. Malware gjør det mulig for dem å få en fordel i spill og muligens utnytte andre spillere ved å kompromittere kontoene sine gjennom vanlige verktøy som nøkkelloggere.”
Som et resultat av hendelsen sa Microsoft at de ville “finpusse” sine policyer, validering og signeringsprosesser.
Microsoft la til at driverne ville bli blokkert gjennom Defender-applikasjonene.
Mens Microsoft kalte skadelig programvare en driver, merket Karsten Hahn fra G Data, som oppdaget Netfilter-skadelig programvare, den som et rootkit.
“I skrivende stund er det fortsatt ukjent hvordan sjåføren kunne bestå signeringsprosessen,” skrev han.
Hahn sa at det å søke i Virustotal produserte prøvesignaturer tilbake til mars.
Netfilter har en oppdateringsmekanisme etter å ha truffet en bestemt IP-adresse, installerer et rotsertifikat og oppdaterer proxy-innstillinger, sa Hahn.
Microsoft sa at for at angrepet skal fungere, må angriperne ha administratorrettigheter for at installatøren kan oppdatere registernøkler og installere driveren, eller overbevise brukeren om å gjøre det selv.
Beslektet dekning
Microsoft advarer mot den nåværende Nobelium-phishing-kampanjen som utgir seg for USAIDJustice Department tar beslag på domener som brukes i Nobelium-USAID-phishing-kampanje.Innovasjon Oz-stil: Ta en verdensledende sikker kjerne og sparke den til forgreningenBrent av SolarWinds angrep? Amerikansk utgivelsesverktøy for gjenkjenning etter kompromissMimecast avslører kildekodetyveri i SolarWinds hackMicrosoft: Vi har funnet tre stykker malware til som brukes av SolarWinds-angriperne
Relaterte emner:
Microsoft Security TV Data Management CXO Data Centers
Av Chris Duckett | 28. juni 2021 – 05:14 GMT (06:14 BST) | Tema: Sikkerhet