原始发行日期:2021年1月8日
CISA有证据表明在云环境中存在折衷后的高级持续威胁(APT)活动。具体来说,CISA看到APT参与者在受害者的Microsoft 365(M365)/ Azure环境中使用了受感染的应用程序,并使用了附加凭据和对私有和公共部门组织的云资源的应用程序编程接口(API)访问。此活动是对AA20-352A中先前详细介绍的内容的补充。
作为响应,CISA发布了AA21-008A:在Microsoft Cloud Environments中检测威胁后的威胁活动,以描述这种恶意的APT活动,并提供三种开源工具的指导,其中包括CISA开发的工具Sparrow,该工具于12月24日发布。网络防御者可以使用这些工具来帮助检测和补救恶意的APT参与者活动,作为持续的供应链漏洞的一部分。
CISA强烈建议用户和管理员查看“活动警报”以获取其他信息和检测对策。
提供此产品时要遵守本通知以及本隐私和使用政策。