Cyberthreat.id - Badan Federal Civilian Executive Branch (FCEB) yang tidak disebutkan namanya di AS mendeteksi aktivitas email yang tidak normal pada pertengahan Juni 2023. Aktivitas yang berada dalam lingkungan Microsoft itu ditengarai spionase baru terkait China yang menargetkan dua lusin organisasi.

The Hacker News menyebutkan, detailnya berasal dari penasihat keamanan siber bersama yang dirilis oleh Badan Keamanan Siber dan Infrastruktur AS (CISA) dan Biro Investigasi Federal (FBI) pada 12 Juli 2023.

"Pada Juni 2023, agen Federal Civilian Executive Branch (FCEB) mengidentifikasi aktivitas mencurigakan di lingkungan cloud Microsoft 365 (M365) mereka," kata pihak berwenang sebagaimana dikutip The Hacker News.

"Microsoft menentukan bahwa pelaku ancaman persisten tingkat lanjut (APT) mengakses dan mengekstraksi data Exchange Online Outlook yang tidak terklasifikasi."

Sementara nama badan pemerintah tidak diungkapkan, CNN dan Washington Post melaporkan bahwa itu adalah Departemen Luar Negeri AS, mengutip orang-orang yang mengetahui masalah tersebut.

Yang juga menjadi sasaran adalah Departemen Perdagangan serta akun email milik staf kongres, advokat hak asasi manusia AS, dan wadah pemikir AS. Jumlah organisasi yang terkena dampak di AS diperkirakan dalam satu digit.

Pengungkapan itu terjadi sehari setelah raksasa teknologi tersebut mengaitkan kampanye tersebut dengan "aktor ancaman berbasis China" yang muncul yang dilacaknya dengan nama Storm-0558.

Kampanye itu, menargetkan lembaga pemerintah di Eropa Barat dan berfokus pada spionase dan pencurian data. Bukti yang dikumpulkan sejauh ini menunjukkan bahwa aktivitas jahat dimulai sebulan sebelumnya sebelum terdeteksi.

China, bagaimanapun, telah menolak tuduhan itu berada di balik insiden peretasan, menyebut AS "kerajaan peretasan terbesar di dunia dan pencuri dunia maya" dan bahwa "sudah saatnya AS menjelaskan kegiatan serangan dunia maya dan berhenti menyebarkan disinformasi untuk mengalihkan perhatian publik.”

Rantai serangan mensyaratkan cyberspies memanfaatkan token otentikasi palsu untuk mendapatkan akses ke akun email pelanggan menggunakan Outlook Web Access di Exchange Online (OWA) dan Outlook.com.

Token dipalsukan menggunakan kunci penandatanganan konsumen akun Microsoft (MSA) yang diperoleh. Metode yang tepat untuk mengamankan kunci masih belum jelas.

Juga digunakan oleh Storm-0558 untuk memfasilitasi akses kredensial adalah dua alat malware khusus bernama Bling dan Cigril, yang terakhir dicirikan sebagai trojan yang mendekripsi file terenkripsi dan menjalankannya langsung dari memori sistem untuk menghindari deteksi.

CISA mengatakan agensi FCEB dapat mengidentifikasi pelanggaran dengan memanfaatkan pencatatan yang ditingkatkan di Microsoft Purview Audit, khususnya menggunakan tindakan audit kotak surat MailItemsAccessed.

Agensi lebih lanjut merekomendasikan agar organisasi mengaktifkan Pencatatan Audit Purview (Premium), mengaktifkan Pencatatan Audit Terpadu Microsoft 365 (UAL), dan memastikan log dapat dicari oleh operator untuk memungkinkan pencarian aktivitas semacam ini dan membedakannya dari perilaku yang diharapkan dalam lingkungan .

"Organisasi didorong untuk mencari outlier dan menjadi terbiasa dengan pola dasar untuk lebih memahami lalu lintas abnormal versus lalu lintas normal," tambah CISA dan FBI.[]