전직 직원의 해킹된 계정을 사용하여 국가 정부 기관에 접근하는 위협 행위자

알 수 없는 위협 행위자가 이전 직원의 네트워크 관리자 자격 증명을 훔쳐서 주정부 기관의 온프레미스 환경에 접근하는 가상 사설망(VPN)을 통해 접근했습니다. 행위자는 훔친 계정과 LDAP 쿼리를 실행하여 사용자 및 호스트 정보를 수집하고, 나중에 암흑 웹 브로커리지 사이트에 게시했습니다. 주요 점: - 위협 행위자는 일반적으로 이전 직원의 계정을 악용하여 조직에 접근합니다. - 행위자는 글로벌 도메인 관리자 계정을 훔쳐 온프레미스 및 Azure 환경에서 행정 특권을 부여받았습니다. - 행위자는 LDAP 쿼리를 실행하여 사용자, 호스트 및 신뢰 관계에 대한 자세한 정보를 수집했습니다. - 행위자는 네트워크 검색 및 파일 탐색을 위해 다양한 서비스에 인증했습니다. - 피해 기관은 직원이 떠난 후 즉시 훔친 직원의 계정을 비활성화하지 않았습니다. - 피해 기관은 암흑 웹 게시물을 발견하고 나서 훔친 계정을 비활성화하고 관리자 특권을 제거하는 즉각적인 조치를 취했습니다. 대응책: - 직원이 떠난 직후 즉시 직원의 계정을 비활성화합니다. - 모든 행정 계정에 다중 요소 인증(MFA)을 구현합니다. - 활성 디렉터리 계정에서 의심스러운 활동을 모니터링하고 감사합니다. - 네트워크 모니터링 및 탐지 도구를 구현하여 불법 접근을 감지합니다. - 정기적인 보안 평가를 수행하여 취약점을 확인하고 대응합니다.