0
0
Background
Em dezembro de 2020, a FireEye descobriu e divulgou publicamente uma ampla campanha conduzida pelo grupo de ameaça que rastreamos como UNC2452. Em algumas, mas não em todas, as intrusões associadas a esta campanha onde Mandiant tem visibilidade, o atacante usou seu acesso às redes locais para obter acesso não autorizado ao ambiente Microsoft 365 da vítima.
Metas e objetivos
A UNC2452 e outros atores de ameaças têm usado várias metodologias para se mover lateralmente das redes locais para a nuvem, especificamente o Microsoft 365. Este documento ajudará as organizações a compreender estas técnicas usadas pela UNC2452, como endurecer proativamente seus ambientes e como remediar ambientes onde técnicas similares foram observadas.
É importante notar que não existe uma fronteira formal de segurança entre as redes locais e os serviços em nuvem fornecidos pelo Microsoft 365. Se uma organização descobre evidências de atividade de atores de ameaças em sua rede local, uma revisão completa do ambiente de nuvem é freqüentemente necessária também.
As organizações podem usar o roteiro de auditoria do Azure AD Investigator, disponível no repositório FireEye GitHub, para
Verifique seus locatários do Microsoft 365 em busca de indicadores relativos às técnicas detalhadas ao longo deste documento. O roteiro alertará administradores e profissionais de segurança sobre artefatos que podem exigir revisão adicional para determinar se eles são verdadeiramente maliciosos ou parte de atividade legítima.
Acesse o documento na íntegra aqui