A Mandiant, divisão da FireEye Mandiant para resposta a incidentes, anunciou hoje o lançamento de um script de auditoria, chamado Azure AD Investigator. Disponível no seu repositório do GitHub, ele permite que as organizações possam verificar se as suas instâncias do Microsoft 365 foram contaminadas por algumas das técnicas usadas pelo UNC2452 – o grupo que atacou a SolarWinds.
O script, segundo comunicado da Mandiant, alertará os administradores e profissionais de segurança sobre a existência dos artefatos. Ainda assim, isso poderá exigir uma revisão adicional para determinar se os achados são realmente maliciosos ou parte de uma atividade legítima.
Veja isso
Mandiant divulga M-Trends 2016
A FireEye compra a Mandiant por US$ 1B
Muitas das técnicas do invasor detalhadas no white paper da Mandiant sobre o assunto são de uso duplo por natureza – podem ser usadas por agentes de ameaças e também por ferramentas legítimas. Portanto, avisa a empresa, será necessária uma revisão detalhada dos parâmetros de configuração específicos, verificando se eles estão alinhados com as atividades autorizadas e esperadas.
Em dezembro de 2020, a FireEye descobriu e divulgou uma ampla campanha de invasores que está sendo rastreada como UNC2452. Em algumas intrusões da campanha investigadas pela Mandiant, o invasor usou seu acesso às redes locais para obter acesso não autorizado ao ambiente Microsoft 365 da vítima.
Hoje, a empresa de segurança cibernética Malwarebytes confirmou que esse mesmo ator de ameaças conseguiu obter acesso a alguns e-mails da empresa. “E a Malwarebytes não usa SolarWinds, como muitas outras empresas foram recentemente alvo do mesmo ator ameaças”, disse Marcin Kleczynski, CEO e co-fundador da Malwarebytes.
As metodologias que o UNC2452 e outros agentes de ameaças usaram para mover-se lateralmente das redes locais para a nuvem Microsoft 365 foram detalhadas no white paper “Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452“, da FireEye. O documento também discute como as organizações podem proteger seus ambientes de maneira proativa e remediar ambientes onde técnicas semelhantes foram observadas.