3) Detail Teknis

Pada pertengahan Juni 2023, agensi FCEB mengamati peristiwa MailItemsAccessed dengan ClientAppID dan AppID yang tidak terduga di Log Audit M365. Peristiwa MailItemsAccessed dihasilkan saat pengguna berlisensi mengakses item di kotak surat Exchange Online menggunakan protokol konektivitas apa pun dari klien mana pun. Agensi FCEB menganggap aktivitas ini mencurigakan karena AppId yang diamati biasanya tidak mengakses item kotak surat di lingkungannya. Agensi melaporkan aktivitas tersebut ke Microsoft dan CISA.

Microsoft menetapkan bahwa aktor APT mengakses dan mengekstraksi data Exchange Online Outlook yang tidak terklasifikasi dari sejumlah kecil akun. Aktor APT menggunakan kunci konsumen akun Microsoft (MSA) untuk memalsukan token untuk menyamar sebagai pengguna konsumen dan perusahaan. Microsoft mengatasi masalah tersebut dengan terlebih dahulu memblokir token yang dikeluarkan dengan kunci yang diperoleh dan kemudian mengganti kunci untuk mencegah penyalahgunaan yang berkelanjutan. Microsoft menetapkan bahwa aktivitas ini merupakan bagian dari kampanye yang menargetkan beberapa organisasi (yang semuanya telah diberitahukan oleh Microsoft).

Agensi FCEB yang terpengaruh mengidentifikasi aktivitas mencurigakan dengan memanfaatkan pencatatan yang ditingkatkan—khususnya peristiwa MailItemsAccessed—dan garis dasar yang ditetapkan dari aktivitas Outlook normal (mis., AppID yang diharapkan). Acara MailItemsAccessed memungkinkan deteksi aktivitas musuh yang sulit dideteksi.

CISA dan FBI tidak mengetahui catatan atau peristiwa audit lain yang akan mendeteksi aktivitas ini. Organisasi infrastruktur penting sangat disarankan untuk mengimplementasikan rekomendasi logging dalam peringatan ini untuk meningkatkan postur keamanan siber mereka dan memposisikan diri untuk mendeteksi aktivitas jahat yang serupa.

4) Rekomendasi

Semua tindakan mitigasi untuk aktivitas ini adalah tanggung jawab Microsoft karena infrastruktur berbasis cloud terpengaruh; namun, IDNIC-CERT merekomendasikan agar organisasi infrastruktur penting menerapkan hal berikut untuk memperkuat lingkungan cloud mereka. Meskipun, mitigasi ini tidak akan mencegah aktivitas ini atau aktivitas terkait di mana pelaku memanfaatkan kunci konsumen yang disusupi, mitigasi ini akan mengurangi dampak aktivitas berbahaya yang kurang canggih yang menargetkan lingkungan cloud:

1. Pisahkan akun administrator dari akun pengguna sesuai dengan panduan Institut Standar dan Teknologi Nasional (NIST), AC-5: Pemisahan Tugas. Hanya izinkan akun administrator yang ditunjuk untuk digunakan untuk tujuan administrasi. Jika pengguna individual memerlukan hak administratif atas workstation mereka, gunakan akun terpisah tanpa akses administratif ke host lain.
2. Kumpulkan dan simpan log akses dan keamanan untuk solusi akses cloud aman (SCA), solusi titik akhir, aplikasi/platform cloud, dan layanan keamanan, seperti firewall, sistem pencegahan kehilangan data, dan sistem deteksi intrusi.
3. Gunakan solusi hosting telemetri (misalnya, solusi SIEM) yang menggabungkan log dan data telemetri untuk memfasilitasi aktivitas pemantauan, audit, peringatan, dan deteksi ancaman organisasi internal.
4. Tinjau hubungan kontraktual dengan semua Penyedia Layanan Cloud (CSP) dan pastikan kontrak mencakup:
   • Kontrol keamanan yang dianggap tepat oleh pelanggan.
   • Pemantauan dan pencatatan yang tepat dari sistem pelanggan yang dikelola penyedia.
   • Pemantauan yang tepat atas keberadaan, aktivitas, dan koneksi penyedia layanan ke jaringan pelanggan.
   • Pemberitahuan aktivitas yang dikonfirmasi atau dicurigai.

Secara umum, IDNIC-CERT menyarankan pengguna perangkat ini untuk diperbarui dengan pengumuman keamanan terbaru oleh vendor dan mengikuti kebijakan keamanan praktik terbaik untuk menentukan pembaruan mana yang harus diterapkan.

Penulis: Ahmad Alkazimy