Агентство кибербезопасности и инфраструктурной безопасности США (CISA) обнаружило, что сетевая среда неназванной государственной организации была взломана через учетную запись администратора, принадлежащую бывшему сотруднику.
"Это позволило субъекту угрозы успешно пройти аутентификацию во внутренней точке доступа к виртуальной частной сети (VPN)", - сообщило агентство в совместном консультативном заключении, опубликованном в четверг совместно с Центром обмена информацией и анализа нескольких штатов (MS-ISAC).
"Субъект угрозы подключился к [виртуальной машине] через VPN жертвы с намерением смешаться с законным трафиком, чтобы избежать обнаружения".
Предполагается, что злоумышленник получил учетные данные после отдельной утечки данных из-за того факта, что учетные данные появились в общедоступных каналах, содержащих утечку информации об учетной записи.
Учетная запись администратора, имевшая доступ к виртуализированному серверу SharePoint, также позволила злоумышленникам получить доступ к другому набору учетных данных, хранящихся на сервере, который имел административные права как в локальной сети, так и в Azure Active Directory (теперь называется Microsoft Entra ID).
Это дополнительно позволило изучить локальную среду жертвы и выполнить различные запросы по протоколу облегченного доступа к каталогам (LDAP) к контроллеру домена. Злоумышленники, стоящие за вредоносной активностью, в настоящее время неизвестны.
Более глубокое расследование инцидента не выявило доказательств того, что злоумышленник переместился из локальной среды в облачную инфраструктуру Azure.
В конечном итоге злоумышленники получили доступ к информации о хостинге и пользователе и разместили информацию в темной сети с вероятной финансовой выгодой, отмечается в бюллетене, что побудило организацию сбросить пароли для всех пользователей, отключить учетную запись администратора, а также удалить повышенные привилегии для второй учетной записи.
Стоит отметить, что ни в одной из двух учетных записей не была включена многофакторная аутентификация (MFA), что подчеркивает необходимость защиты привилегированных учетных записей, которые предоставляют доступ к критически важным системам. Также рекомендуется реализовать принцип наименьших привилегий и создать отдельные учетные записи администратора для разделения доступа к локальным и облачным средам.
Это событие свидетельствует о том, что злоумышленники используют действительные учетные записи, в том числе принадлежащие бывшим сотрудникам, которые не были должным образом удалены из Active Directory (AD), для получения несанкционированного доступа к организациям.
"Ненужные учетные записи, программное обеспечение и сервисы в сети создают дополнительные векторы для компрометации субъекта угрозы", - заявили агентства.
"По умолчанию в Azure AD все пользователи могут регистрироваться и управлять всеми аспектами создаваемых ими приложений. Эти настройки по умолчанию могут позволить субъекту угрозы получать доступ к конфиденциальной информации и перемещаться по сети в горизонтальном направлении. Кроме того, пользователи, создающие Azure AD, автоматически становятся глобальными администраторами этого клиента. Это может позволить субъекту угрозы повысить привилегии для выполнения вредоносных действий."
"Это позволило субъекту угрозы успешно пройти аутентификацию во внутренней точке доступа к виртуальной частной сети (VPN)", - сообщило агентство в совместном консультативном заключении, опубликованном в четверг совместно с Центром обмена информацией и анализа нескольких штатов (MS-ISAC).
"Субъект угрозы подключился к [виртуальной машине] через VPN жертвы с намерением смешаться с законным трафиком, чтобы избежать обнаружения".
Предполагается, что злоумышленник получил учетные данные после отдельной утечки данных из-за того факта, что учетные данные появились в общедоступных каналах, содержащих утечку информации об учетной записи.
Учетная запись администратора, имевшая доступ к виртуализированному серверу SharePoint, также позволила злоумышленникам получить доступ к другому набору учетных данных, хранящихся на сервере, который имел административные права как в локальной сети, так и в Azure Active Directory (теперь называется Microsoft Entra ID).
Это дополнительно позволило изучить локальную среду жертвы и выполнить различные запросы по протоколу облегченного доступа к каталогам (LDAP) к контроллеру домена. Злоумышленники, стоящие за вредоносной активностью, в настоящее время неизвестны.
Более глубокое расследование инцидента не выявило доказательств того, что злоумышленник переместился из локальной среды в облачную инфраструктуру Azure.
В конечном итоге злоумышленники получили доступ к информации о хостинге и пользователе и разместили информацию в темной сети с вероятной финансовой выгодой, отмечается в бюллетене, что побудило организацию сбросить пароли для всех пользователей, отключить учетную запись администратора, а также удалить повышенные привилегии для второй учетной записи.
Стоит отметить, что ни в одной из двух учетных записей не была включена многофакторная аутентификация (MFA), что подчеркивает необходимость защиты привилегированных учетных записей, которые предоставляют доступ к критически важным системам. Также рекомендуется реализовать принцип наименьших привилегий и создать отдельные учетные записи администратора для разделения доступа к локальным и облачным средам.
Это событие свидетельствует о том, что злоумышленники используют действительные учетные записи, в том числе принадлежащие бывшим сотрудникам, которые не были должным образом удалены из Active Directory (AD), для получения несанкционированного доступа к организациям.
"Ненужные учетные записи, программное обеспечение и сервисы в сети создают дополнительные векторы для компрометации субъекта угрозы", - заявили агентства.
"По умолчанию в Azure AD все пользователи могут регистрироваться и управлять всеми аспектами создаваемых ими приложений. Эти настройки по умолчанию могут позволить субъекту угрозы получать доступ к конфиденциальной информации и перемещаться по сети в горизонтальном направлении. Кроме того, пользователи, создающие Azure AD, автоматически становятся глобальными администраторами этого клиента. Это может позволить субъекту угрозы повысить привилегии для выполнения вредоносных действий."
