การโจมตีจากช่องโหว่การยกระดับสิทธิ์มากกว่า 50% มากจาก Insider Threat
ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) เป็นช่องโหว่ที่พบบ่อยที่สุด ที่บุคคลภายในองค์กรใช้เพื่อให้สามารถเข้าใช้งานบนเครือข่ายที่ไม่ได้รับอนุญาต ไม่ว่าจะเพื่อจุดประสงค์ที่เป็นอันตราย หรือโดยการดาวน์โหลดเครื่องมือที่มีความเสี่ยงในลักษณะที่เป็นอันตราย
(more…)
เครื่องมือของแฮ็กเกอร์ตัวใหม่ที่ชื่อว่า "Terminator" กำลังได้รับการโปรโมตโดยผู้ไม่หวังดีชื่อ 'Spyboy' บนฟอรัมแฮ็กเกอร์ของรัสเซีย โดยเครื่องมือนี้ถูกอ้างว่าสามารถปิดการทำงานของซอฟแวร์ป้องกันไวรัส, Endpoint Detection and Response (EDR) และ Extended Detection and Response (XDR) ได้ อย่างไรก็ตามบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง CrowdStrike ได้ปฏิเสธคำกล่าวอ้างเหล่านี้ โดยระบุว่า Terminator เพียงใช้วิธีการโจมตีที่เรียกว่า Bring Your Own Vulnerable Driver (BYOVD) มาใช้เท่านั้น
รายละเอียดของ Terminator
ตามรายงาน Terminator มีความสามารถในการหลีกเลี่ยงการตรวจจับจากโซลูชันด้านความปลอดภัยได้ถึง 24 รายการ ซึ่งรวมถึงแอนตี้ไวรัส, EDR, XDR และ Windows Defender
Spyboy ซึ่งเป็นผู้ที่อยู่เบื้องหลัง Terminator ได้นำเสนอซอฟต์แวร์นี้ในราคาที่แตกต่างกันตามรูปแบบ เช่น 'single bypass' หรือแบบครอบคลุม 'all-in-one bypass'
Spyboy ระบุว่าการหลีกเลี่ยงการตรวจจับจาก EDR บางรายการ เช่น SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex และ Cylance ไม่สามารถขายแยกได้ นอกจากนี้ยังมีระบุว่าไม่รับผิดชอบต่อการกระทำใด ๆ ที่เกี่ยวข้องกับแรนซัมแวร์ หรือการเข้ารหัสอื่น ๆ
โดยรายงานจากวิศวกรของ CrowdStrike ใน Reddit ระบุว่า Terminator นั้นแค่ดรอปไฟล์ไดรเวอร์ที่ผ่านการตรวจสอบ และลงทะเบียนอย่างถูกต้องจาก Zemana anti-malware kernel driver ซึ่งไฟล์ไดรเวอร์จะชื่อ zamguard64.sys หรือ zam64.sys และเก็บไว้ในไดเรกทอรี C:\Windows\System32\ โดยใช้ชื่อที่สุ่มมาตั้งแต่ 4 ถึง 10 ตัวอักษร
เมื่อไดรเวอร์ที่เป็นมัลแวร์ถูกเขียนลงบนดิสก์แล้ว Terminator จะโหลดไดรเวอร์นั้นเพื่อใช้สิทธิ์ระดับเคอร์เนล เพื่อให้สามารถหยุดการทำงานของ processes ที่เกี่ยวข้องกับซอฟต์แวร์ AV และ EDR ที่ทำงานบนอุปกรณ์ที่ได้รับผลกระทบ
เพื่อใช้งาน Terminator ต้องมีสิทธิ์ผู้ดูแลระบบในระบบปฏิบัติการ Windows เป้าหมาย และต้องหลอกให้เหยื่อให้ยอมรับข้อความ User Account Controls (UAC) ที่ปรากฏขึ้นเมื่อมีการเรียกใช้เครื่องมือ
เทคนิคนี้คล้ายกับแคมเปญ BYOVD อื่น ๆ ที่พบเห็นก่อนหน้านี้
ปัจจุบันไดรเวอร์ที่มีช่องโหว่ที่ Terminator ใช้งานอยู่ ถูกระบุว่าเป็นอันตรายโดยเครื่องมือสแกนมัลแวร์เพียงรายเดียว ตามผลสแกนของ VirusTotal
อย่างไรก็ตาม Florian Roth หัวหน้าฝ่ายวิจัยที่ Nextron Systems และ Nasreddine Bencherchali นักวิจัยด้านความเสี่ยง ได้แชร์ YARA กับ Sigma rules ที่ช่วยให้ผู้ใช้งานสามารถตรวจจับไดรเวอร์ที่มีช่องโหว่ที่ถูกใช้งานโดยเครื่องมือ Terminator ได้แบบล่วงหน้า และลดความเสี่ยงจากไดรเวอร์ที่มีช่องโหว่ที่อยู่ในระบบได้
อ้างอิง : https://cyware.
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้พบแคมเปญการโจมตีเพื่อขุดเหรียญ cryptocurrency สำหรับเหรียญ Dero เป็นครั้งแรกตั้งแต่เดือนกุมภาพันธ์ 2023
CrowdStrike รายงานว่า "การดำเนินการ Cryptojacking ของเหรียญ Dero นี้มุ้งเน้นไปที่การค้นหา Kubernetes clusters ที่มีการเปิดใช้งานแบบไม่ระบุตัวตน ที่เปิดใช้งานบน Kubernetes API และเปิดใช้งานพอร์ตที่ไม่ได้มาตรฐานที่สามารถเข้าถึงได้จากอินเทอร์เน็ต"
การพัฒนานี้เป็นการเปลี่ยนแปลงที่สำคัญจาก Monero ซึ่งเป็นสกุลเงินดิจิทัลที่พบบ่อยในแคมเปญการโจมตีเพื่อขุดเหรียญ cryptocurrency มีความเป็นไปได้ว่าสาเหตุเนื่องมาจาก Dero มีผลตอบแทนที่สูง และมีฟีเจอร์ที่ไม่ระบุตัวตนที่เหมือนกัน หรือดีกว่า Monero
การโจมตีนี้มาจากผู้ไม่หวังดีที่มีแรงจูงใจทางด้านการเงิน โดยการโจมตีจะเริ่มต้นด้วยการสแกนหา Kubernetes clusters ที่ตั้งค่าการตรวจสอบสิทธิ์เป็น '--anonymous-auth=true' ซึ่งอนุญาตให้ส่งคำขอแบบไม่ระบุตัวตนไปยังเซิร์ฟเวอร์ เพื่อฝัง payloads ที่เป็นอันตราย โดยมีต้นทางเป็น IP Address จาก 3 แห่งในสหรัฐฯ
การโจมตีนี้รวมถึงการติดตั้ง Kubernetes DaemonSet ชื่อ 'proxy-api' ซึ่งจะถูกใช้ในการฝัง pod ที่เป็นโปรแกรมควบคุมทุก ๆ Node ของ Kubernetes cluster เพื่อเริ่มต้นการขุดเหรียญ cryptocurrency
เพื่อให้เกิดผลเช่นนั้น ไฟล์ YAML ของ DaemonSet จะถูกสั่งให้รัน Docker image ที่มีไฟล์ไบนารีชื่อ 'pause' ซึ่งเป็นโปรแกรมสำหรับขุดเหรียญ Dero
ในการติดตั้ง Kubernetes ที่ถูกต้อง 'pause' containers จะถูกใช้โดย Kubernetes เพื่อทำการบูต pod โดยทางบริษัทระบุว่า "ผู้ไม่หวังดีอาจจะใช้ชื่อนี้เพื่อแฝงตัวเข้ากับระบบ และหลีกเลี่ยงการตรวจจับ
CrowdStrike ระบุว่าตรวจพบการโจมตีที่เหมือนกันนี้ในการขุดเหรียญ Morero ด้วยการโจมตี Kubernetes clusters โดยพยายามลบ "proxy-api" DaemonSet ที่เกี่ยวข้องกับการโจมตีเพื่อขุดเหรียญ Dero
โดยเป็นสัญญาณให้เห็นถึงการโจมตีเพื่อแย่งชิงระหว่างกลุ่มที่มีเจตนาสำหรับการ Cryptojacking ซึ่งแข่งขันกันเพื่อใช้ทรัพยากรบนคลาวด์ในการเข้าควบคุมเครื่อง และใช้ทรัพยากรของเครื่องทั้งหมด
นักวิจัยจาก CrowdStrike คาดว่า "ทั้ง 2 แคมเปญ พยายามค้นหาเพื่อโจมตี Kubernetes ที่ยังไม่ถูกโจมตี และกำลังแข่งขันกัน"
ที่มา : thehackernews
เมื่อวันที่ 10 ธันวาคม 2564 ได้มีการเผยแพร่รายละเอียดข้อมูลช่องโหว่ระดับความรุนแรงสูงมาก Log4j โดยทาง govinfosecurity ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูล การจัดการความเสี่ยง ความเป็นส่วนตัว และการฉ้อโกง ISMG ของสหรัฐอเมริกา ให้ข้อมูลถึงระดับความรุนแรง ผลกระทบที่เกิดขึ้นกับแอพพลิเคชั่นจำนวนมากที่ใช้ภายในองค์กร พร้อมคำแนะนำจากสำนักงานความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา
ซึ่งสามารถดูรายละเอียดได้ที่ : https://www.
จากเหตุการณ์การเกิดช่องโหว่ CVE2011-42288 Log4shell การป้องกันช่องโหว่ด้วยวีธี Update/Patch เป็นการแก้ไขปัญหาที่ดีที่สุด แต่ถ้ายังไม่สามารถทำได้ในทันทีล่ะ
.
ทางทีม MDR มีอีกวิธีที่จะมาช่วยเพิ่มความสามารถในการ Detect พฤติกรรมที่น่าสงสัยหรืออาจจะเข้าข่ายการโจมตีด้วยช่องโหว่ Log4shell ด้วยการทำเงื่อนไขการตรวจจับแบบปรับแต่งเอง หรือ Custom IOA จาก CrowdStrike (Require Falcon Insight Module)
.
โดยหากเราลองใช้สมมติฐานที่ว่า……
การโจมตีด้วยช่องโหว่ Log4shell คือการโจมตี Package Log4j ที่ทำงานบนภาษา Java หรือพูดง่ายๆ คือสามารถสั่งให้ Process Java บนเครื่องของเรา ให้ Run process หรือ คำสั่งใดๆ ก็ได้ (อาจจะด้วยการ JNDI Injection)
.
เราสามารถตั้งเงื่อนไข Custom IOA ได้ว่า ถ้า Process Java มีการเรียกใช้งานหรือไปสร้าง Child Process ต่างๆ เช่น sh , bash , dash , curl , python เป็นต้น และให้ CrowdStrike ทำการ Detect และแจ้งผู้ดูแลระบบเพื่อให้ผู้ดูแลระบบสามารถเข้าตรวจสอบพฤติกรรมดังกล่าวได้อย่างทันท่วงที
.
ซึ่งเป็นการเพิ่ม Visibility ให้แก่ผู้ดูแลระบบเพื่อรับมือการอาจจะถูกโจมตีช่องโหว่ Log4shell ได้ไม่มากก็น้อยเพื่อเป็นตัวช่วยคุณอย่างนึง ในระหว่างรอการ Update/Patch อยู่นั้นเอง
แต่หากคุณเจอ False Positive อย่าเพิ่งตกใจไปนะ เราสามารถทำการ Fine-Tune Customer IOA ของเรา โดยเพิ่ม Exclusion ให้กับ Child Process ที่เป็นการใช้งานปกติได้เพิ่มเติมภายหลังได้
ตัวอย่างการทำ Generic Custom IOA บน Linux environment
ตัวอย่าง Detection เมื่อพบเหตุการณ์ที่ตรงกับเงื่อนไข Custom IOA
พบ Java มีการเรียกใช้ Dash และ Curl
ทั้งนี้เพื่อให้การ Custom IOA เหมาะกับองค์กรของคุณและสามารถ Detect พฤติกรรมที่น่าสงสัยได้อย่างเต็มประสิทธิภาพ สามารถติดต่อไปยังทีมงานผู้เชี่ยวชาญของ I-SECURE กันได้นะคะ
Facebook Page : @isecure.
สหรัฐออกกฎหมายฉุกเฉินหลัง Colonial Pipeline บริษัทผู้ดูแลท่อส่งน้ำมันฝั่งตะวันออกรายใหญ่ของสหรัฐฯ ออกประกาศว่าถูกโจมตีระบบเครือข่ายด้วย DarkSide Ransomware ส่งผลกระทบต่อการจัดหา น้ำมันเบนซิน, ดีเซล, น้ำมันเครื่องบินและผลิตภัณฑ์ปิโตรเลียมกลั่นอื่น ๆ และต้องทำการปิดท่อส่งเชื้อเพลิง 5,500 ไมล์จากเมืองฮุสตันของเท็กซัสไปยังท่าเรือนิวยอร์ก
Colonial Pipeline เป็นบริษัทที่ทำการขนส่งน้ำมันเชื้อเพลิงปริมาณ 2.5 ล้านบาร์เรลต่อวันหรือคิดเป็น 45% ของปริมาณการใช้น้ำมันดีเซล น้ำมันเบนซินและเชื้อเพลิงอากาศยานในฝั่งตะวันออกของสหรัฐฯ การโจมตีทำให้กลุ่มแฮกเกอร์ได้ข้อมูลภายในของบริษัทเกือบ 100 กิกะไบต์ และทำการเข้ารหัสคอมพิวเตอร์และเซิร์ฟเวอร์บางส่วนเพื่อเรียกค่าไถ่ ซึ่งหากบริษัทไม่ยอมจ่ายเงิน ก็จะทำการปล่อยข้อมูลดังกล่าวสู่สาธารณะ
จากรายงานของ Crowdstrike คาดว่า DarkSide เป็นฝีมือแฮกเกอร์ที่เรียกว่า Carbon Spider (aka Anunak, Carbanak หรือ FIN7) ซึ่งผู้จัดการระดับสูงและผู้ดูแลระบบเพิ่งถูกตัดสินจำคุกในสหรัฐฯเป็นเวลา 10 ปี และจากการตรวจสอบบนเว็บไซต์ของกลุ่มแฮกเกอร์ ที่ชื่อว่า DarkSide's data leak ยังพบการเผยแพร่ข้อมูลของธุรกิจน้ำมันและก๊าซอื่นๆ เช่น Forbes Energy Services และ Gyrodata
ปัจจุบันบริษัทและหน่วยงานที่เกี่ยวข้องกำลังเร่งกู้คืนระบบ และพยายามทำให้ระบบบางส่วนกลับมาให้บริการได้อย่างเต็มรูปแบบอีกครั้ง
ที่มา : thehackernews
ช่องโหว่ Microsoft Exchange ที่รู้จักในชื่อ ProxyLogon (https://proxylogon.com/) เป็นช่องโหว่ที่ถูกค้นพบโดยบริษัท DEVCORE ที่แจ้งไปยัง Microsoft และ Microsoft แก้ไขในแพตช์ด่วนไปเมื่อ 3 มีนาคม 2021 ที่ผ่านมา แต่จากการตรวจสอบของบริษัทด้านความปลอดภัยต่างๆ เช่น Volexity, Unit 42, Rapid 7 และ CrowdStrike พบว่ามีการโจมตีก่อนที่จะมีการออกแพตช์ในช่วงปลายเดือนกุมภาพันธ์ 2021 ซึ่งเมื่อวิเคราะห์ข้อมูลการโจมตีโดยละเอียดพบว่าการโจมตีมีความผิดปกติ คือใช้ POC ของบริษัท DEVCORE ที่ส่งให้ Microsoft เพื่อทำการออกแพตช์ จึงเป็นไปได้ที่จะมีการรั่วไหลของ POC ของช่องโหว่ Exchange เกิดขึ้นก่อนการแพตช์
ทางบริษัท DEVCORE ออกแถลงการณ์ระบุว่าทางบริษัทได้ทำการตรวจสอบแล้วและไม่พบว่ามีการรั่วไหลของ POC จากฝั่ง DEVCORE ในขณะที่ทาง Microsoft อยู่ระหว่างการทำการสืบสวน ซึ่งจะมุ่งไปที่โปรแกรม Microsoft Active Protections Program (Mapp) ที่ทาง Microsoft จะให้ข้อมูลบริษัทด้านความปลอดภัยต่างๆ อย่างบริษัทผลิตภัณฑ์ป้องกันมัลแวร์ทราบข้อมูลเกี่ยวกับภัยคุกคามก่อนล่วงหน้า โดยในกรณีช่องโหว่ ProxyLogon นี้ ทาง Microsoft ได้ส่ง POC ให้กับบริษัทในโครงการ Mapp เมื่อวันที่ 23 กุมภาพันธ์ 2021 ที่ผ่านมา
ที่มา : wsj | zdnet
ในช่วงระหว่างปลายเดือนกุมพาพันธ์ที่ผ่านมา กรณีการโจมตี SolarWinds มีความเคลื่อนไหวหลายประกาศ ซึ่งทีม Intelligent Response ขอสรุปสถานการณ์ และความเคลื่อนไหวดังกล่าวให้รับทราบดังนี้
1.NASA และ FAA ร่วมวงผู้ได้รับผลกระทบ
องค์การบริการการบินและอวกาศแห่งชาติหรือ NASA และองค์การบริหารการบินแห่งสหรัฐอเมริกา (FAA) ออกมายืนยันว่าทางองค์กรได้รับผลกระทบจากการโจมตีซึ่งเกี่ยวข้องกับกรณีการโจมตี SolarWinds ในลักษณะ Supply-chain attack ไม่มีการเปิดเผยผลกระทบและความรุนแรง อย่างไรก็ตามทั้งสององค์กรได้ออกมายืนยันว่าได้มีการดำเนินการตามความเหมาะสมเพื่อจัดการกับสถานการณ์แล้ว
ที่มา: bleepingcomputer
2.ไมโครซอฟต์ปล่อยชุดคิวรี่ CodeQL ในการใช้ค้นหา IOC ในระดับโค้ด
ไมโครซอฟต์มีการเผยแพร่คิวรี่สำหรับเฟรมเวิร์ค CodeQL เพื่อใช้ในการหา IOC ที่เกี่ยวข้องกับมัลแวร์ SUNBURST ในระดับโค้ด ตัวอย่างเช่น โค้ดส่วนที่ใช้ในการฝังตัว (implant), โค้ดฟังก์ชันแฮชที่ใช้ในการเก็บข้อมูลโปรเซส รวมไปถึงส่วนโค้ดที่ใช้ในการติดต่อการ C&C โดยปัจจุบันโค้ดได้ถูก Merge เข้าไปในการ Repository กลางของ CodeQL แล้ว และสามารถเข้าดูได้ที่ github
ที่มา: microsoft
3.1อัปเดตข้อมูลจากการให้ข้อมูลกับคณะกรรมการข่าวกรอง โดย Microsoft, FireEye, CrowdStrike และ SolarWinds
ฝั่งไมโครซอฟต์มีการร้องขอให้ทางภาครัฐฯ สนับสนุนหรือบังคับให้ภาคเอกชนจำเป็นต้องมีการแบ่งปันข้อมูลที่ดีกว่านี้เมื่อมีการโจมตีเกิดขึ้น
FireEye ระบุความเกี่ยวข้องกับการโจมตีว่า วิธีการโจมตีที่ตรวจพบนั้นมีความสอดคล้องกับพฤติกรรมในปฏิบัติการทางไซเบอร์รัสเซียมากที่สุด ทางทำเนียบขาวตอบรับในข้อเท็จจริงและกำลังหาวิธีการที่เหมาะสมในการเรียกร้องความรับผิดชอบจากรัสเซีย
CrowdStrike เน้นไปที่ปัญหาในระบบของ Windows และวิธีการที่ล้าหลังในการพิสูจน์ตัวตนรวมไปถึงโซลูชันด้านความปลอดภัยที่ไม่มีประสิทธิภาพให้เป็นส่วนหนึ่งของปัญหาเช่นเดียวกัน
ที่มา: theregister
3.2อัปเดตข้อมูลจากการให้ข้อมูลกับวุฒิสภา โดย Microsoft, FireEye, CrowdStrike และ SolarWinds
SolarWinds ให้ข้อมูลรหัสผ่าน solarwinds123 ที่เกี่ยวข้องกับระบบ File server ของ SolarWinds นั้นเกิดจากเด็กฝึกงานเป็นผู้กำหนดขึ้นมา ทั้งนี้ปัญหาก็ได้รับการจัดการทันทีที่รับทราบ
ไมโครซอฟต์ระบุว่าไม่พบหลักฐานว่ากระทรวงกลาโหมถูกโจมตี
FireEye ระบุว่าผลกระทบที่แท้จริงจากการโจมตีนั้นยังคงถูกประเมินได้ยาก และในขณะเดียวกันการระบุข้อมูลใดที่ถูกขโมยออกไปบ้างก็เป็นไปได้ยากที่จะระบุได้เช่นเดียวกัน
ที่มา: cnn
ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้
CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.
CrowdStrike ออกเครื่องมือช่วยตรวจสอบ Microsoft Azure ฟรีหลังจากที่ถูกพยายามทำการบุกรุกระบบอีเมล
วันที่ 15 ธันวาคมที่ผ่านมา CrowdStrike ได้รับแจ้งจาก Microsoft ถึงการพยายามอ่านอีเมลของบริษัทผ่าน Credential ของ Microsoft Azure ที่ถูกบุกรุก
สืบเนื่องมาจากเมื่อต้นเดือนที่ผ่านมามีการค้นพบว่าซอฟต์แวร์ SolarWinds Orion ประสบปัญหาการถูกโจมตีทางอินเทอร์เน็ต ซึ่งผู้ประสงค์ร้ายได้ปรับเปลี่ยนซอฟต์แวร์เพื่อติดตั้งแบ็คดอร์บนเครือข่ายของลูกค้าจึงเป็นผลทำให้บริษัทและองค์กรต่างๆ ได้รับผลกระทบจากการโจมตี Supply-chain attack ผ่านซอฟต์แวร์ SolarWinds Orion
ตามรายงานการแจ้งเตือนระบุว่า Microsoft ได้สังเกตเห็นว่ามีการเรียกใช้ Microsoft cloud APIs ผิดปกติในช่วงเวลา 17 ชั่วโมงเมื่อหลายเดือนก่อนและมีความพยายามในการอ่านอีเมล Office 365 เพื่อเข้าถึงอีเมลของ CrowdStrike เนื่องจาก CrowdStrike ไม่ใช้ Office 365 การโจมตีดังกล่าวจึงล้มเหลว โดย Microsoft ได้เปิดเผยว่าข้อมูล Credential และโทเค็นการเข้าถึง Microsoft Azure สำหรับบัญชีผู้ค้าถูกขโมยไป Microsoft จึงได้ตั้งข้อสันนิษฐานผู้ประสงค์ร้ายได้ใช้ข้อมูลดังกล่าวเพื่อใช้ในการกำหนดเป้าหมายลูกค้า Microsoft Azure ของ Microsoft
หลังจากได้รับการแจ้งเตือน CrowdStrike ได้ทำการวิเคราะห์ Environment ต่างๆ ของ Microsoft Azure และพบว่าไม่มีการบุกรุก อย่างไรก็ตามในระหว่างการวิเคราะห์นี้ CrowdStrike จัดทำเครื่องมือที่ชื่อว่า CrowdStrike Reporting Tool สำหรับ Azure (CRT) เพื่อที่จะช่วยให้ผู้ดูแลระบบ Microsoft Azure สามารถทำการตรวจสอบและทำการวิเคราะห์ Environment ต่างๆ ของ Microsoft Azure ของท่านได้ โดยผู้ดูแลระบบที่สนใจเครื่องมือดังกล่าวสามารถเข้าไปอ่านรายละเอียดได้ที่: https://github.