Un acteur de menace exploite le compte compromis d'un ancien employé pour accéder à une organisation gouvernementale d'État

Un acteur de menace non identifié a compromis les informations d'identification d'un administrateur réseau d'un ancien employé pour accéder à l'environnement local d'une organisation gouvernementale d'État via un réseau privé virtuel (VPN). L'acteur a utilisé des comptes compromis et exécuté des requêtes LDAP pour collecter des informations sur les utilisateurs et les hôtes, qui ont ensuite été publiées sur un site de courtage sombre. Points clés: - Les acteurs de menace exploitent fréquemment les comptes d'anciens employés pour accéder aux organisations. - L'acteur de menace a compromis un compte d'administrateur de domaine global, lui accordant des privilèges administratifs sur les environnements à la fois locaux et Azure. - L'acteur a exécuté des requêtes LDAP pour collecter des informations détaillées sur les utilisateurs, les hôtes et les relations de confiance. - L'acteur s'est authentifié auprès de divers services, y compris CIFS, pour la découverte du réseau et l'exploration des fichiers. - L'organisation victime n'avait pas désactivé le compte de l'employé compromis immédiatement après son départ. - L'organisation victime a pris des mesures rapides pour désactiver les comptes compromis et supprimer les privilèges d'administrateur après avoir découvert la publication sur le web sombre. Mitigations: - Désactivez les comptes des anciens employés immédiatement après leur départ. - Mettez en œuvre l'authentification à plusieurs facteurs (AMF) pour tous les comptes administratifs. - Effectuez régulièrement des audits et des surveillances des comptes du répertoire actif pour détecter les activités suspectes. - Mettez en place des outils de surveillance et de détection du réseau pour détecter l'accès non autorisé. - Réalisez des évaluations de sécurité régulières pour identifier et résoudre les vulnérabilités.