mimecast违规是Solarwinds攻击者的工作
MimeCast透露,1月12日使用受损的Microsoft Office 365 Exchange Web服务认证证书违反其系统是12月2020年12月2020年的同一高级持久威胁(APT)组的工作,确认了两个事件之间的疑似联系。
该事件影响了三种Mimecast产品 - 同步和恢复,连续性监视器和内部电子邮件保护。许多Mimecast客户办公室365租户理解为处于低单位数字,旨在入侵。
现在,Mimecast和外部专家团队的后续法医调查现在已经确定了活跃和危险的UNC2452集团在袭击后面。本集团涉嫌与俄罗斯政府联系,针对美国联邦机构和其他网络安全公司的行动。
在新的陈述中,Mimecast说:“最近的威胁情报报告描述了这种威胁演员发动的攻击的运动。很明显,这一事件是高度复杂的大规模攻击的一部分,并专注于特定类型的信息和组织。
“现在,安全社区内的透明度和合作,对有效的反应至关重要。我们预计其他组织将学习或分享他们受到Solarwinds Orion软件妥协后面的威胁演员的影响。我们从其他人面临这种威胁的专业知识中受益,我们致力于根据自己的经验做同样的事,以创造一个更安全和有弹性的社区。“
迄今为止,MIMECAST调查发现,UNC2452访问并潜在地删除了英国和美国客户创建的某些加密服务帐户凭据。问题中的凭据与MimeCast租户建立了与内部部署和云服务的连接,包括LDAP,Azure Active Directory,Exchange Web服务,Pop3日记和SMTP身份验证的传送路由。
Mimecast表示,没有意识到任何加密的凭据都已经解密或用于任何外部目标,但现在现在正在采取向英国托管的所有客户提供预防措施并重置其凭据的步骤。
已知一直受到影响的所有客户都被建议打破并重新建立与新发行的钥匙的行程365租户的联系,所有受损钥匙已被禁用。
MIMECAST表示,它相信采取的行动孤立和修复所确定的威胁将有效,但目前正在继续审查和监控其环境,并将进一步的更新,如果情况是必要的。
