Hackerne bag SolarWinds-overtrædelsen infiltrerede også Malwarebytes, men det lykkedes dem kun at få adgang til nogle interne e-mails ifølge antivirusudbyderens undersøgelse.
Indbruddet skete ikke gennem SolarWinds IT-software, som Malwarebytes ikke bruger.
I stedet udnyttede angriberne virksomhedens konti med Office 365 og Microsoft Azure.
"Vi kan bekræfte eksistensen af ??en anden indtrængningsvektor, der fungerer ved at misbruge applikationer med privilegeret adgang til Microsoft Office 365 og Azure-miljøer," sagde Malwarebytes i et blogindlæg tirsdag.
Den 15.
december - dagen efter, at SolarWinds-hacket blev offentligt - fortalte Microsoft antivirusudbyderen, at de havde bemærket mistænkelig aktivitet fra en tredjepartsapplikation inden for Malwarebytes 'Office 365-system.
"Undersøgelsen indikerer, at angriberne har brugt et sovende e-mail-beskyttelsesprodukt inden for vores Office 365-lejer, der tillod adgang til en begrænset delmængde af interne virksomheds-e-mails," sagde Malwarebytes.
Taktik og teknikker, der blev brugt under indtrængen, var også i overensstemmelse med bruddet på SolarWinds.
Heldigvis tilsluttede Malwarebytes aldrig Microsofts Azure-skyetjeneste med Malwarebytes 'antivirusproduktionsmiljøer.
Ikke desto mindre påbegyndte sikkerhedsfirmaet en fuldstændig undersøgelse for at finde tegn på mulig manipulation på tværs af virksomhedens systemer, herunder inden for produktkildekode og softwareleveringsprocesser.
"Vores interne systemer viste intet bevis for uautoriseret adgang eller kompromis i lokale og produktionsmiljøer," sagde Malwarebytes.
"Vores software er fortsat sikker at bruge."
Et vellykket hack af Malwarebytes 'antivirusprodukter ville være katastrofalt for brugere over hele kloden.
Virksomheden er et betroet navn inden for it-sikkerhed og siger, at det beskytter mere end 60.000 virksomheder ud over millioner af forbrugere.
For at fjerne indtrængen siger Malwarebytes, at hackerne muligvis har udnyttet en påstået svaghed i Microsofts Azure Active Directory, som sikkerhedsforsker Dirk-jan Mollema rapporterede i 2019.
Hvis du kompromitterer en "Application Admin-konto" eller "On-Premise Sync-konto" med tjenesten kan du få yderligere privilegier til en klients Microsoft 365-applikationer, hvilket baner vejen for bagdøradgang til et offers virksomheds-IT-systemer.
”Optrapningen er stadig mulig, da denne opførsel anses for at være” by-design ”og dermed fortsat er en risiko,” skrev Mollema i september 2019.
For at kompromittere en applikationsadministratorkonto påpeger Malwarebytes, at hackere muligvis har brugt gætte på adgangskoder.
”I vores særlige tilfælde tilføjede trusselsaktøren et selvsigneret certifikat med legitimationsoplysninger til tjenestens hovedkonto.
Derfra kan de godkende ved hjælp af nøglen og foretage API-opkald for at anmode om e-mails via MSGraph (Microsoft Graph), ”tilføjede virksomheden.
Indbruddet på Malwarebytes understreger, hvordan SolarWinds-hackerne sandsynligvis brugte en række sårbarheder til at spionere på deres ofre, som inkluderer adskillige amerikanske regeringsorganer.
”Der er meget mere, der endnu ikke er opdaget om denne lange og aktive kampagne, der har påvirket så mange højt profilerede mål,” tilføjede Malwarebytes.
Ifølge amerikansk efterretningstjeneste er synderne bag SolarWinds-overtrædelsen sandsynligvis hackere, der arbejder fra Rusland.
Kreml har gentagne gange benægtet enhver involvering.
Som svar på Malwarebytes-indtrængen sagde Microsoft: "Vores igangværende undersøgelse af nylige angreb har fundet ud af, at denne avancerede og sofistikerede trusselsaktør havde flere teknikker i deres værktøjssæt.
Vi har ikke identificeret nogen sårbarheder i vores produkter eller cloud-tjenester."
Redaktørens note: Denne historie er blevet opdateret med Microsofts erklæring.
Malwarebytes har også opdateret sit blogindlæg for at fjerne udtrykket "Azure Active Directory-svaghed" og i stedet specificere hackerne, der har brugt et sovende e-mail-beskyttelsesprodukt inden for virksomhedens Office 365-system.
