安全服务公司Mimecast证实SolarWinds黑客窃取了公司内部多个项目的源代码根据SolarWinds的最新消息,黑客已经破坏了Mimecast网络,作为SolarWinds间谍活动的一部分,黑客窃取了安全公司的部分源代码存储库.这家电子邮件安全公司最初报告称,1月份的凭证泄露事件是SolarWinds供应链攻击的一部分,该攻击还袭击了微软、FireEye和一些美国政府机构。攻击者最初被发现窃取了Mimecast客户的电子邮件地址和其他联系信息,以及某些散列和加盐凭证。然而,在对SolarWinds黑客攻击的最新调查中,Mimecast表示已发现证据表明攻击者还可以访问“有限数量”的源代码存储库。然而,Mimecast试图淡化攻击的影响,称:“我们认为攻击者下载的源代码不完整,不足以构建和运行Mimecast服务的任何方面。目前,我们没有发现任何证据表明攻击者我们没有修改我们的源代码,并且据信不会对我们的产品产生任何影响。”早在1月份,微软就发现攻击者破坏了Mimecast拥有的证书,该证书用于验证Mimecast同步和恢复(为各种电子邮件内容提供备份)、ContinuityMonitor(监控电子邮件流量中断)和内部电子邮件保护(IEP)产品适用于Microsoft365ExchangeWeb服务。攻击者使用此证书从非MimecastIP地址范围连接到客户Microsoft365租户的“低个位数”。然后,攻击者利用Mimecast的Windows环境为位于美国和英国的客户提取加密的服务帐户凭据。“这些凭据建立了从Mimecast租户到本地和云服务的连接,包括LDAP、AzureActiveDirectory、ExchangeWeb服务、POP3日志和用于SMTP身份验证的传播路由,”Mimecast说。Mimecast表示,起初没有证据表明攻击访问了用户的电子邮件或个人资料内容。在周二的更新中,这家安全公司重申了这一说法。然而,攻击者对源代码的访问可以让他们深入了解各种产品组件和其他敏感信息。除了Mimecast表示攻击者访问的源代码“不完整”之外,没有关于访问的源代码类型的更多信息,并且当通过Threatpost访问时,Mimecast没有提供关于访问的源代码的更多信息。目前,该公司表示将通过在源代码树中实施额外的安全分析措施,继续分析和监控其源代码是否存在潜在的滥用行为。自攻击开始以来,Mimecast发布了一个新的证书连接,并建议受影响的客户切换到它;以及一种删除和阻止攻击者访问公司受影响部分的方法(允许的网格环境)。后续攻击分析SolarWinds攻击者还从微软获取了源代码库。Microsoft存储库包含以下代码:一小组Azure组件(包括与服务、安全和身份相关的组件)、一小组Intune组件和一小组Exchange组件。.MicrosoftIntune通过云端提供移动设备管理、移动应用程序管理和PC管理功能。使用Intune,组织可以为其员工提供从几乎任何地方使用几乎任何设备访问公司应用程序、数据和资源的权限,同时帮助保护公司信息的安全。此次针对Mimecast的攻击只是SolarWinds大规模攻击的最新事件,相信后续还会有相关的后续攻击。今年1月,美国联邦调查局、国家安全局、网络安全与基础设施安全局(CISA)和国家情报总监办公室(ODNI)在一份联合声明中表示,SolarWinds的黑客活动可能来自俄罗斯。从去年春天开始,后门最初通过木马化软件更新传播到全球近18,000个组织,其中包括美国国土安全部(DHS)、财政部和商务部等备受瞩目的受害者。CrowdStrike、Fidelis、FireEye、Malwarebytes、PaloAltoNetworks和Qualys等其他网络安全供应商也成为此次攻击的目标。一旦嵌入,攻击者就能够挑选并选择要进一步攻击的组织。从那以后,还发现了其他几个与SolarWinds黑客背后的攻击者有关的恶意软件。该恶意软件家族包括:一个名为GoldMax的后门;一种名为Sibot的双重用途恶意软件;和一个名为GoldFinder的恶意软件。除了带头开展此次行动的恶意软件Sunburst之外,研究人员在1月份还披露了其他名为Raindrop和Teardrop的恶意软件,它们被用来针对此次攻击。本文翻译自:https://threatpost.com/mimecast-solarwinds-attackers-stole-source-code/164847/
