Malwarebytes宣称遭到与入侵SolarWinds的同一批骇客的攻击

美国国土安全部旗下的网络安全暨基础架构安全署（CISA）曾于去年12月中警告，SolarWinds系统并非骇客入侵美国-及民间企业唯一的切入口，本周资安业者Malwarebytes即指出，他们相信同一批骇客也危害了具备Microsoft Office 365及Azure环境存取权限的第三方应用程序，而Malwarebytes亦为相关攻击的受害者。

Malwarebytes说明，该公司是在去年的12月15日收到微软的通知，当时微软表示在Malwarebytes的Office 365租户中发现第三方应用程序的可疑行为，且与入侵SolarWinds系统的骇客集团使用一致的攻击战术流程（Tactics、Techniques and Procedures，TTP）。

原来骇客开采了Malwarebytes安装在Office 365租户中的一个休眠的电子邮件保护产品，该产品可用来存取Malwarebytes有限的内部电子邮件。在这个案例中，骇客于服务的主要账号中新增了一个具备凭证的自签名证书，因而得以利用该金钥与呼叫API，透过MSGraph请求电子邮件。

在经过全面的彻查后，Malwarebytes并未发现其就地部署或生产环境中，有任何遭非法存取或危害的证据，且该公司所建立的软件也是安全的。

另一资安业者CrowdStrike也在去年12月收到微软的通知，微软发现有一个用来管理CrowdStrike之Office授权的经销商Azure账号，在数月之前被用来呼叫微软的云端APIs，企图存取CrowdStrike的电子邮件，而且尝试时间长达17小时，由于CrowdStrike并未使用Office 365的电子邮件功能，因而更显得异常，且骇客并未得逞。

不管是在SolarWinds，或是微软Office 365/Azure的案例中，骇客都是借由开采供应链展开攻击。Malwarebytes、CrowdStrike或微软皆未公布遭骇客利用的供应商名称。