元従業員の侵害されたアカウントを利用し、州政府組織にアクセスする脅威者

未特定の脅威行為者が、元従業員のネットワーク管理者資格情報を侵害し、州政府機関のオンプレミス環境に仮想プライベートネットワーク（VPN）を介してアクセスしました。この行為者は、侵害されたアカウントとLDAPクエリーを実行し、ユーザーとホストの情報を収集し、後にダークウェブのブローカレッジサイトに投稿しました。 キー・ポイント： - 脅威行為者は、元従業員のアカウントを悪用して組織にアクセスすることが一般的です。 - 侵害されたグローバル・ドメイン・アドミニストレーターアカウントは、オンプレミスとAzureの両環境で管理者特権を付与しました。 - 行為者は、LDAPクエリーを実行し、ユーザー、ホスト、信頼関係に関する詳細な情報を収集しました。 - 行為者は、ネットワークの発見とファイルの探検のためにCIFSを含む複数のサービスに認証しました。 - 被害者組織は、元従業員のアカウントを退職直後に無効化しなかった。 - 被害者組織は、ダークウェブ上での投稿を発見後、侵害されたアカウントを無効化し、管理者特権を削除する速やかな行動をとりました。 緩和策： - 元従業員のアカウントを退職直後に無効化する。 - すべての管理者アカウントに対し、多要素認証（MFA）を実施する。 - アクティブ・ディレクトリー・アカウントの不正な活動を監視し、定期的に監査する。 - ネットワーク監視と検出ツールを実施し、不正アクセスを検出する。 - 定期的なセキュリティ・アセスメントを実施し、脆弱性を特定し、対処する。