Malwarebytes宣稱遭到與入侵SolarWinds的同一批駭客的攻擊

美國國土安全部旗下的網路安全暨基礎架構安全署（CISA）曾於去年12月中警告，SolarWinds系統並非駭客入侵美國政府及民間企業唯一的切入口，本周資安業者Malwarebytes即指出，他們相信同一批駭客也危害了具備Microsoft Office 365及Azure環境存取權限的第三方應用程式，而Malwarebytes亦為相關攻擊的受害者。

Malwarebytes說明，該公司是在去年的12月15日收到微軟的通知，當時微軟表示在Malwarebytes的Office 365租戶中發現第三方應用程式的可疑行為，且與入侵SolarWinds系統的駭客集團使用一致的攻擊戰術流程（Tactics、Techniques and Procedures，TTP）。

原來駭客開採了Malwarebytes安裝在Office 365租戶中的一個休眠的電子郵件保護產品，該產品可用來存取Malwarebytes有限的內部電子郵件。在這個案例中，駭客於服務的主要帳號中新增了一個具備憑證的自簽名證書，因而得以利用該金鑰與呼叫API，透過MSGraph請求電子郵件。

在經過全面的徹查後，Malwarebytes並未發現其就地部署或生產環境中，有任何遭非法存取或危害的證據，且該公司所建立的軟體也是安全的。

另一資安業者CrowdStrike也在去年12月收到微軟的通知，微軟發現有一個用來管理CrowdStrike之Office授權的經銷商Azure帳號，在數月之前被用來呼叫微軟的雲端APIs，企圖存取CrowdStrike的電子郵件，而且嘗試時間長達17小時，由於CrowdStrike並未使用Office 365的電子郵件功能，因而更顯得異常，且駭客並未得逞。

不管是在SolarWinds，或是微軟Office 365/Azure的案例中，駭客都是藉由開採供應鏈展開攻擊。Malwarebytes、CrowdStrike或微軟皆未公布遭駭客利用的供應商名稱。