黑客使用美国政府机构前员工的管理凭据

美国网络安全机构 CISA 表示，威胁行为者使用前雇员管理账户的受损凭据访问了美国政府组织的网络。

攻击者使用泄露的凭据访问内部 VPN，对本地环境进行侦察，并在域控制器上执行 LDAP 查询。

该组织（CISA 未透露其名称）未能删除该前雇员的账户，该账户允许威胁行为者进行侦察和发现活动。

CISA 表示，这些凭证提供了对两台虚拟服务器（即 SharePoint 和员工工作站）的访问权限，这些凭证是从另一次数据泄露中获得的，并且可以“在包含泄露账户信息的公开渠道中”找到。

攻击者从 SharePoint 服务器提取了第二名员工的凭据，并使用它们对本地 Active Directory 和 Azure AD 进行身份验证，从而获得管理权限。

攻击者在暗网论坛上发布了从政府组织窃取的信息，包括包含主机和用户信息以及元数据的文档，从而引发了调查。

用户帐户立即被禁用，两台虚拟服务器也离线。受害组织还更改了第二个受感染账户的凭据并删除了其管理权限。

“这两个管理帐户都没有启用多重身份验证 (MFA)，”CISA 指出。

据该机构称，威胁行为者使用开源工具在域控制器上执行 LDAP 查询，以收集用户、主机和信任关系信息，并将生成的文本文件发布到暗网上出售。

对于文件、文件夹和目录发现，威胁参与者使用 CIFS 协议（通常用于文件的共享访问）对各个端点进行身份验证。攻击者总共对 16 个服务进行了身份验证。

建议组织审查当前的管理账户并删除不必要的账户，限制一个用户使用多个管理员账户，为本地和云环境创建单独的管理员账户，实施最小权限原则，并实施网络钓鱼 -抗 MFA。

此外，他们应及时删除不必要的账户，维护强大的资产管理策略，保持所有系统和应用程序更新，防止个人设备连接到网络，评估用户权限，启用日志记录，使用工具识别攻击路径，采用强密码管理策略、安全地存储凭证并验证其安全控制。

原文始发于微信公众号（河南等级保护测评）：黑客使用美国政府机构前员工的管理凭据