Lansiran ini adalah lansiran pendamping untuk AA20-352A: Ancaman Tetap Lanjutan dari Instansi Pemerintah, Infrastruktur Kritis, dan Organisasi Sektor Swasta. AA20-352A terutama berfokus pada kompromi aktor Advanced Persistent Ancaman (APT) terhadap produk SolarWinds Orion sebagai vektor akses awal ke dalam jaringan lembaga Pemerintah AS, entitas infrastruktur penting, dan organisasi jaringan swasta. Sebagaimana dicatat dalam AA20-352A, Cybersecurity and Infrastructure Security Agency (CISA) memiliki bukti vektor akses awal selain produk SolarWinds Orion yang dikompromikan.
Peringatan ini juga membahas aktivitas — terlepas dari vektor akses awal yang dimanfaatkan — yang diatribusikan CISA ke aktor APT. Secara khusus, CISA telah melihat aktor APT menggunakan aplikasi yang disusupi di lingkungan Microsoft 365 (M365) / Azure korban. CISA juga telah melihat aktor APT ini memanfaatkan kredensial tambahan dan akses Application Programming Interface (API) ke sumber daya cloud organisasi sektor swasta dan publik. Taktik, teknik, dan prosedur (TTP) ini memiliki tiga komponen utama:
Mengompromikan atau melewati solusi identitas gabungan;
-Menggunakan token otentikasi palsu untuk berpindah secara lateral ke lingkungan cloud Microsoft; dan
-Menggunakan akses istimewa ke lingkungan cloud korban untuk membuat mekanisme persistensi yang sulit dideteksi untuk akses berbasis Application Programming Interface (API).
-Peringatan ini menjelaskan TTP ini dan menawarkan ikhtisar, dan panduan tentang, alat sumber terbuka yang tersedia — termasuk alat yang dikembangkan CISA, Sparrow — bagi pembela jaringan untuk menganalisis Microsoft Azure Active Directory (AD), Office 365 (O365), dan lingkungan M365 untuk mendeteksi aktivitas yang berpotensi berbahaya.
Catatan: Peringatan ini menjelaskan artefak — yang ditampilkan oleh serangan ini — tempat CISA mengidentifikasi bukti yang dapat dideteksi dari tujuan awal pelaku ancaman. CISA terus menganalisis tujuan tindak lanjut aktor ancaman.
Selengkapnya di US-CERT
