Sep, 13 2023|Sekretariat IDNIC
3) Detail Teknis
Pada pertengahan Juni 2023, agensi FCEB mengamati peristiwa MailItemsAccessed dengan ClientAppID dan AppID yang tidak terduga di Log Audit M365. Peristiwa MailItemsAccessed dihasilkan saat pengguna berlisensi mengakses item di kotak surat Exchange Online menggunakan protokol konektivitas apa pun dari klien mana pun. Agensi FCEB menganggap aktivitas ini mencurigakan karena AppId yang diamati biasanya tidak mengakses item kotak surat di lingkungannya. Agensi melaporkan aktivitas tersebut ke Microsoft dan CISA.
Microsoft menetapkan bahwa aktor APT mengakses dan mengekstraksi data Exchange Online Outlook yang tidak terklasifikasi dari sejumlah kecil akun. Aktor APT menggunakan kunci konsumen akun Microsoft (MSA) untuk memalsukan token untuk menyamar sebagai pengguna konsumen dan perusahaan. Microsoft mengatasi masalah tersebut dengan terlebih dahulu memblokir token yang dikeluarkan dengan kunci yang diperoleh dan kemudian mengganti kunci untuk mencegah penyalahgunaan yang berkelanjutan. Microsoft menetapkan bahwa aktivitas ini merupakan bagian dari kampanye yang menargetkan beberapa organisasi (yang semuanya telah diberitahukan oleh Microsoft).
Agensi FCEB yang terpengaruh mengidentifikasi aktivitas mencurigakan dengan memanfaatkan pencatatan yang ditingkatkan—khususnya peristiwa MailItemsAccessed—dan garis dasar yang ditetapkan dari aktivitas Outlook normal (mis., AppID yang diharapkan). Acara MailItemsAccessed memungkinkan deteksi aktivitas musuh yang sulit dideteksi.
CISA dan FBI tidak mengetahui catatan atau peristiwa audit lain yang akan mendeteksi aktivitas ini. Organisasi infrastruktur penting sangat disarankan untuk mengimplementasikan rekomendasi logging dalam peringatan ini untuk meningkatkan postur keamanan siber mereka dan memposisikan diri untuk mendeteksi aktivitas jahat yang serupa.
4) Rekomendasi
Semua tindakan mitigasi untuk aktivitas ini adalah tanggung jawab Microsoft karena infrastruktur berbasis cloud terpengaruh; namun, IDNIC-CERT merekomendasikan agar organisasi infrastruktur penting menerapkan hal berikut untuk memperkuat lingkungan cloud mereka. Meskipun, mitigasi ini tidak akan mencegah aktivitas ini atau aktivitas terkait di mana pelaku memanfaatkan kunci konsumen yang disusupi, mitigasi ini akan mengurangi dampak aktivitas berbahaya yang kurang canggih yang menargetkan lingkungan cloud:
Secara umum, IDNIC-CERT menyarankan pengguna perangkat ini untuk diperbarui dengan pengumuman keamanan terbaru oleh vendor dan mengikuti kebijakan keamanan praktik terbaik untuk menentukan pembaruan mana yang harus diterapkan.
Penulis: Ahmad Alkazimy