Dans un billet de blog, Malwarebytes indique avoir été lui aussi victime de la vague d’attaques qui a commencé par une brèche chez SolarWinds, avant de toucher le gouvernement américain et Microsoft (entre autres) fin 2020.
L’éditeur explique que l’attaque ne se reposait pas sur SolarWinds, mais sur un vecteur tirant avantage d’applications qui avaient des accès privilégiés aux services Office 365 et Azure de Microsoft.
Malwarebytes indique avoir travaillé avec la Detection and Response Team (DART) de Microsoft pour analyser l’ensemble des installations cloud et sur sites. Ils ont fini par trouver le vecteur : une protection dormante pour les emails dans Office 365, utilisée pour accéder « à une petite partie de nos emails internes ».
La société a également analysé le code source de ses produits, révisé ses processus de compilation et même pratiqué de la rétroingénierie sur ses propres logiciels, sans rien trouver. Au vu de la complexité de ces attaques, Malwarebytes demande que les sociétés de sécurité continuent de partager des informations.
Parallèlement, Symantec a annoncé la découverte d’un quatrième malware lié à ces attaques. Nommé Raindrop, il rejoint donc Sunburst, Sunspot et Teardrop. Son rôle est également connu : diffuser de la charge virale dans le réseau d’une structure une fois l’infection originale accomplie.
Symantec ne donne pas de noms de structures infectées. L’éditeur indique quand même avoir repéré Raindrop chez une victime sur un système s’occupant d’accès et gestion d’autres ordinateurs, ainsi que sur une machine qui se servait de commandes PowerShell pour diffuser Raindrop à d’autres.
