Злоумышленник использует скомпрометированный аккаунт бывшего сотрудника, чтобы получить доступ к государственной организации правительства

Неопознанный актор угрозы скомпрометировал учетные данные администратора сети бывшего сотрудника, чтобы получить доступ к внешнему окружению государственной организации через виртуальную частную сеть (VPN). Актор использовал скомпрометированные учетные записи и выполнил запросы LDAP, чтобы собрать информацию о пользователях и хостах, которая позже была опубликована на темном веб-сайте брокеража. Ключевые точки: - Акторы угрозы часто эксплуатируют учетные записи бывших сотрудников, чтобы получить доступ к организациям. - Актор скомпрометировал глобальную учетную запись администратора домена, что дало ему административные привилегии в обоих внешних и Azure-окружениях. - Актор выполнил запросы LDAP, чтобы собрать подробную информацию о пользователях, хостах и доверительных отношениях. - Актор аутентифицировался в различных сервисах, включая CIFS, для сетевого обнаружения и исследования файлов. - Жертва организации не отключила скомпрометированную учетную запись бывшего сотрудника сразу после его ухода. - Жертва организации приняла быстрые меры по отключению скомпрометированных учетных записей и удалению административных привилегий после обнаружения публикации на темном веб-сайте. Меры защиты: - Отключать учетные записи бывших сотрудников сразу после их увольнения. - Реализовать многофакторную аутентификацию (МФА) для всех административных учетных записей. - Регулярно проводить аудит и мониторинг активных учетных записей Active Directory для обнаружения подозрительной активности. - Реализовать инструменты мониторинга и обнаружения в сети, чтобы обнаруживать несанкционированный доступ. - Проводить регулярные оценки безопасности, чтобы выявлять и устранять уязвимости.