原始發行日期:2021年1月8日
CISA有證據表明在雲環境中存在折衷後的高級持續威脅(APT)活動。具體來說,CISA看到APT參與者在受害者的Microsoft 365(M365)/ Azure環境中使用了受感染的應用程序,並使用了附加憑據和對私有和公共部門組織的雲資源的應用程序編程接口(API)訪問。此活動是對AA20-352A中先前詳細介紹的內容的補充。
作為響應,CISA發布了AA21-008A:在Microsoft Cloud Environments中檢測威脅後的威脅活動,以描述這種惡意的APT活動,並提供三種開源工具的指導,其中包括CISA開發的工具Sparrow,該工具於12月24日發布。網絡防御者可以使用這些工具來幫助檢測和補救惡意的APT參與者活動,作為持續的供應鏈漏洞的一部分。
CISA強烈建議用戶和管理員查看“活動警報”以獲取其他信息和檢測對策。
提供此產品時要遵守本通知以及本隱私和使用政策。