Mimecast的新更新顯示，SolarWinds黑客訪問了幾個“有限的”源代碼存儲庫。

據SolarWinds公司的最新消息，黑客入侵Mimecast網絡，作為SolarWinds間諜活動的一部分，黑客竊取了這家安全公司的一些源代碼庫。

這家電子郵件安全公司最初報告稱，一月份的證書泄露是SolarWinds供應鏈攻擊的一部分，該攻擊還襲擊了Microsoft，FireEye和一些美國政府機構。

[[389742]]

攻擊者最初被發現竊取了Mimecast客戶的電子郵件地址和其他聯系信息，以及某些哈希和加鹽的憑據。但是，在對SolarWinds黑客的最新調查中，Mimecast表示，已經發現的證據表明攻擊者也可以訪問“數量有限”的源代碼存儲庫。

但是，Mimecast試圖淡化本次攻擊產生的影響，他們表示：

早在今年1月，微軟就發現攻擊者已經破壞了Mimecast擁有的證書，該證書用于驗證Mimecast同步和恢復(為各種郵件內容提供備份)、連續性監視器(監視電子郵件流量中斷)和微軟365 Exchange Web服務的內部電子郵件保護(IEP)產品。

攻擊者使用此證書連接了來自非Mimecast IP地址范圍的客戶的Microsoft 365租戶的“low single-digit number”。然后，攻擊者利用Mimecast的Windows環境來提取位于美國和英國的客戶的加密服務帳戶憑據。

Mimecast表示：

起初，Mimecast表示，沒有證據表明該攻擊者訪問了用戶的電子郵件或檔案內容。在周二的更新中，該安全公司重申了這一說法。然而，攻擊者對源代碼的訪問可以讓他們了解各種產品組件和其他敏感信息。除了Mimecast表示攻擊者訪問的源代碼是“不完整的”之外，無法獲得有關訪問源代碼類型的進一步信息，當通過Threatpost訪問時，Mimecast沒有提供有關訪問源代碼的進一步信息。

目前，該公司表示，將通過在源代碼樹中實施其他安全分析措施，繼續分析和監視其源代碼以防止潛在地濫用。自攻擊開始以來，Mimecast已發布了新的證書連接，并建議受影響的客戶切換到該連接;以及刪除和阻止攻擊者訪問公司受影響部分(允許的網格環境)的方式。

后續攻擊分析

SolarWinds攻擊者還從微軟獲取了源代碼庫，微軟存儲庫包含以下代碼：一小部分Azure組件，包括與服務、安全和身份相關的組件，一小部分Intune組件和一小部分Exchange組件。Microsoft Intune通過云提供移動設備管理，移動應用程序管理和PC管理功能。使用Intune，組織可以從幾乎任何設備上的幾乎任何位置為其員工提供對企業應用程序，數據和資源的訪問，同時幫助保護企業信息的安全。

對Mimecast的最新攻擊只是SolarWinds大范圍攻擊的最新事件，相信未來還有相關的后續攻擊發生。

今年1月，美國的FBI、NSA、網絡安全與基礎設施安全局(CISA)和國家情報總監辦公室(ODNI)于聯合聲明稱，SolarWinds的黑客行為可能來自俄羅斯。

從去年春天開始，這個后門最初通過木馬軟件更新被傳播到全球近18000個組織，包括備受矚目的受害者，如美國國土安全部(DHS)、財政部和商務部。其他網絡安全供應商，如CrowdStrike、Fidelis、FireEye、Malwarebytes、Palo Alto Networks和Qualys也成為了此次攻擊的目標。

一旦嵌入，攻擊者就能夠挑選和選擇進一步要攻擊的組織。從那以后，還陸陸續續發現了幾種惡意軟件，這些惡意軟件與SolarWinds黑客背后的攻擊者有關。 該惡意軟件家族包括：一個名為GoldMax的后門軟件;一個叫Sibot的兩用惡意軟件和一個叫GoldFinder的惡意軟件。除了在這次行動中充當先鋒的惡意軟件Sunburst外，研究人員在1月份還揭露了另外一些被稱為Raindrop和Teardrop的惡意軟件，它們在最初的大規模Sunburst攻擊后就被用于有針對性的攻擊。

本文翻譯自：https://threatpost.com/mimecast-solarwinds-attackers-stole-source-code/164847/