Hackarna bakom SolarWinds-intrånget infiltrerade också Malwarebytes, men de lyckades bara få tillgång till vissa interna e-postmeddelanden, enligt antivirusleverantörens undersökning.
Inbrottet inträffade inte genom SolarWinds IT-programvara, som Malwarebytes inte använder.
Istället utnyttjade angriparna företagets konton med Office 365 och Microsoft Azure.
"Vi kan bekräfta förekomsten av en annan intrångsvektor som fungerar genom att missbruka applikationer med privilegierad åtkomst till Microsoft Office 365 och Azure-miljöer", sade Malwarebytes i ett blogginlägg på tisdag.
Den 15 december - dagen efter att SolarWinds-hacket blev offentligt - sa Microsoft till antivirusleverantören att de hade märkt misstänkt aktivitet från en tredjepartsapplikation inom Malwarebytes Office 365-system.
"Undersökningen visar att angriparna utnyttjade en vilande e-postskyddsprodukt inom vår Office 365-hyresgäst som gav åtkomst till en begränsad delmängd av interna e-postmeddelanden från företaget," sade Malwarebytes.
Taktik och tekniker som användes under intrånget överensstämde också med brottet från SolarWinds.
Lyckligtvis kopplade Malwarebytes aldrig Microsofts Azure-molntjänst till Malwarebytes antivirusproduktionsmiljöer.
Icke desto mindre inledde säkerhetsföretaget en fullständig utredning för att hitta några tecken på eventuell manipulering över företagets system, inklusive inom produktkällkod och leveransprocesser för programvara.
"Våra interna system visade inga bevis för obehörig åtkomst eller kompromiss i någon lokal och produktionsmiljö," sade Malwarebytes.
"Vår programvara är fortfarande säker att använda."
Ett framgångsrikt hack av Malwarebytes antivirusprodukter skulle vara katastrofalt för användare över hela världen.
Företaget är ett pålitligt namn inom IT-säkerhet och säger att det skyddar mer än 60 000 företag utöver miljontals konsumenter.
För att få igång intrånget säger Malwarebytes att hackarna kan ha utnyttjat en påstådd svaghet i Microsofts Azure Active Directory som säkerhetsforskaren Dirk-jan Mollema rapporterade under 2019.
Om du äventyrar ett "Application Admin-konto" eller "On-Premise Sync Account" med tjänsten kan du få ytterligare privilegier för en klients Microsoft 365-applikationer, vilket banar väg för bakdörråtkomst till offrets företags-IT-system.
”Upptrappningen är fortfarande möjlig eftersom detta beteende anses vara” by-design ”och därmed förblir en risk”, skrev Mollema i september 2019.
För att äventyra ett applikationsadministratörskonto påpekar Malwarebytes att hackarna kan ha använt lösenagissning.
”I vårt speciella fall har hotaktören lagt till ett självsignerat certifikat med referenser till tjänstens huvudkonto.
Därifrån kan de autentisera med nyckeln och ringa API-samtal för att begära e-post via MSGraph (Microsoft Graph), tillade företaget.
Inbrottet vid Malwarebytes understryker hur SolarWinds-hackarna troligen använde en mängd olika sårbarheter för att spionera på sina offer, vilket inkluderar många amerikanska myndigheter.
"Det finns mycket mer att upptäcka om den här långa och aktiva kampanjen som har påverkat så många högt profilerade mål", tillade Malwarebytes.
Enligt amerikanska underrättelsetjänsten är syndarna bakom SolarWinds-troligen hackare som arbetar från Ryssland.
Kreml har upprepade gånger förnekat någon inblandning.
Som svar på Malwarebytes-intrånget sa Microsoft: "Vår pågående undersökning av de senaste attackerna har visat att denna avancerade och sofistikerade hotaktör hade flera tekniker i sin verktygslåda.
Vi har inte identifierat några sårbarheter i våra produkter eller molntjänster."
Redaktörens anmärkning: Denna berättelse har uppdaterats med Microsofts uttalande.
Malwarebytes har också uppdaterat sitt blogginlägg för att ta bort termen "Azure Active Directory-svaghet" och i stället specificera hackarna som använde en vilande e-postskyddsprodukt i företagets Office 365-system.
