IOTW：Microsoft确定的另一个Solarigate目标

Mimecast是最新添加到受SolarWinds黑客影响的公司列表中的最新机构，现在被称为Solarigate。 在微软对SolarWinds黑客的调查中，他们确定并告知了另一位受害者。 Mimecast是一个基于云的电子邮件管理系统，将安全性，归档和其他服务整合到Office 365平台中。
Mimecast的36,000个客户中，估计有10％受到黑客的影响。据Mimecast称，这些客户中只有少数几个（通常是一个数字）是针对的。这些目标的性质尚未公布，但这意味着Solarigate背后的俄罗斯特工可能正在挑选特定的高价值受害者。
1月12日，Mimecast向受影响的人发布了该建议： “为预防起见，我们要求使用此基于证书的连接的Mimecast客户子集立即删除其M365租户中的现有连接，并使用我们提供的新证书重新建立基于证书的新连接。采取此措施不会影响入站或出站邮件流或相关的安全扫描。 客户的安全始终是我们的头等大事。
我们已经聘请了第三方法证专家来协助我们进行调查，我们将酌情与Microsoft和执法部门密切合作。” 相关：国家状态网络安全行为 在先前与Solarigate相关的攻击中，网络管理软件Orion被用作特洛伊木马，通过带有合法更新和补丁的恶意代码来传播。但是，Mimecast不再使用SolarWinds服务，这提出了一个新问题。
由于Mimecast过去与SolarWinds进行过交易或通过完全无关的方法，Solarigate黑客是否获得了访问权限？无论如何，黑客的独特工具和策略使网络专家确信黑客是由同一组织实施的。 具体而言，《 CPO杂志》报道说：``更早之前，SolarWinds黑客能够破坏安全断言标记语言（SAML）签名证书，从而为Microsoft的云平台生成身份验证令牌。 网络犯罪团伙使用获取的凭据在Microsoft Active Directory域服务上进行身份验证，以升级域控制器上的权限，并在整个公司网络中横向传播。
” 被SolarWinds黑客袭击的政府和私营部门实体也使用类似策略被破坏。 国土安全部最近警告说，黑客正在使用Orion特洛伊木马以外的其他策略来侵入网络，包括密码猜测和不安全的管理凭据。例如，另一起违规行为发生在第三方供应商处，该第三方供应商转售了Microsoft的基于云的软件。
黑客从那里试图获取对CrowdStrike Inc.电子邮件的访问权限。网络安全厂商表示攻击未成功。
微软警告说，第三方厂商仍然是Solarigate黑客的目标。 相关：p最终供应商风险评估清单 在美国最大的网络攻击中，受害者的数量不断增加，对于公司和政府来说，采取更多的安全措施变得越来越重要。基本的最佳实践不再足够。
持续的用户培训和测试以及部署领先的网络安全技术有助于弥补标准网络安全措施与黑客机会之间的漏洞。 除非有足够的组织注意并部署此类解决方案，否则黑客将继续变得胆怯，并且像SolarWinds黑客这样的黑客将越来越普遍。.