Çin merkezli bir APT aktörü, Microsoft 365 bulut ortamına erişti ve az sayıda hesaptan sınıflandırılmamış Exchange Online Outlook verilerini sızdırdı.
Haziran 2023’te bir Federal Sivil Yürütme Şubesi (FCEB) ajansı, Microsoft 365 (M365) bulut ortamında şüpheli etkinlik gözlemledi ve etkinliği Microsoft ve CISA’ya bildirdi.
CISA ve Federal Soruşturma Bürosu (FBI), tüm kuruluşlara saldırıyı hafifletmek için rehberlik sağlamak üzere bu ortak Siber Güvenlik Danışmanlığını yayınlıyor.
APT Erişimi Outlook Çevrimiçi:
Microsoft, Çin merkezli Storm-0558 adlı hacker grubunun müşterilerinin Outlook ve Exchange Online e-posta hesaplarına yönelik saldırısını başarıyla engellediğini duyurdu.
Çinli bir casusluk aktörü -Storm-0558, Mayıs 2023’ten başlayarak yaklaşık bir ay boyunca Exchange Online (OWA) ve Outlook(.)com sınıflandırılmamış e-posta hizmetinde bulut tabanlı Outlook Web Access’e erişti.
E-posta verilerine erişmek için bir Microsoft hesabı imzalama anahtarından sahte kimlik doğrulama belirteçleri kullanıldı ve bu hedefli saldırıdan 25 kuruluş etkilendi.
FCEB ajansı, M365 Denetim Günlüklerinde beklenmedik bir ClientAppID ve AppID ile MailItemsAccessed olaylarını gözlemledi.
MailItemsAccessed olayı, lisanslı kullanıcılar herhangi bir istemciden herhangi bir bağlantı protokolünü kullanarak Exchange Online posta kutularındaki öğelere eriştiğinde oluşturulur.
Gözlemlenen AppId, ortamlarındaki posta kutusu öğelerine rutin olarak erişmediğinden, FCEB ajansı Microsoft ve CISA’yı bu anormal etkinlik hakkında bilgilendirdi.
Microsoft, edinilen anahtarla verilen belirteçleri hemen bloke etti ve ardından kötüye kullanımın devam etmesini önlemek için anahtarı değiştirdi.
öneriler:
FBI ve CISA, kritik altyapı kuruluşlarının kötü niyetli etkinliği tespit etmek için denetim günlüğü tutmasını şiddetle tavsiye ediyor.
Yönetim ve Bütçe Ofisi (OMB) M-21-31, Microsoft denetim günlüklerinin aktif depolamada en az on iki ay ve soğuk depolamada ek olarak on sekiz ay süreyle saklanmasını gerektirir.
Bu, günlükleri bulut ortamından boşaltarak veya yerel olarak Microsoft aracılığıyla bir denetim günlüğü tutma ilkesi oluşturarak gerçekleştirilebilir.
G5/E5 düzeyinde lisanslama gerektiren Purview Denetim (Premium) günlük kaydını etkinleştirin
Kontrol edilmesi önerilir Günlükler, tehdit etkinliğini aramak için operatörler tarafından aranabilir.
Kuruluşlar, anormal ve normal trafiği daha iyi anlamak için aykırı değerler aramaya ve temel kalıplara aşina olmaya teşvik edilir.