30%的“ SolarWinds骇客”受害者实际上并未使用SolarWinds
当安全公司Malwarebytes上周宣布遭到攻击SolarWinds的同一攻击者的攻击时Orion软件指出,攻击本身并没有使用SolarWinds。根据Malwarebytes的说法,攻击者使用了“另一个入侵媒介”。获得对公司电子邮件的有限子集的访问权限。美国网络安全和基础设施局(CISA)的代理主管布兰登·威尔斯(Brandon Wales)说,受攻击的组织中有近三分之一与SolarWinds没有直接联系。
[攻击者]以多种方式获得了对其目标的访问权。这个对手很有创造力...绝对正确的是,这个竞选活动不应该被视为SolarWinds竞选活动。
许多攻击都是通过喷洒密码来破坏目标组织的个人电子邮件帐户的最初立足点。一旦攻击者拥有了最初的立足点,他们便使用各种复杂的特权升级和身份验证攻击来利用Microsoft的云服务中的漏洞。安全性公司CrowdStrike是高级持久威胁(APT)的另一个目标,该攻击者试图利用与该公司合作的Microsoft经销商的一个受感染帐户来尝试读取其电子邮件,但未成功。
据《华尔街日报》报道,SolarWinds现在正在调查这些Microsoft漏洞是否是APT进入其自身组织的第一个媒介的可能性。微软在12月表示,有问题的APT已经访问了其自己的公司网络并查看了内部源代码,但没有发现“表明我们的系统曾被用来攻击其他系统的迹象”。当时,Microsoft已经确定对其客户进行了40多次攻击,此后此数目有所增加。
微软公司安全,法规遵从和身份部门副总裁Vasu Jakkal告诉ZDNet," SolarWinds"竞选活动不是像新常态那样孤立的紧急情况,而是说,这些攻击将继续变得更加复杂。因此,我们应该期待这一点。这不是第一个,也不是最后一个。这不是离群值。这将成为常态。"
