19/02/24
Американское агентство кибербезопасности и защиты инфраструктуры (CISA) в сотрудничестве с межгосударственным центром анализа и обмена информацией (MS-ISAC) установило, что неизвестные злоумышленники получили доступ к одной из внутренних правительственных сетей США через учётную запись администратора, принадлежавшую бывшему сотруднику.
Предполагается, что злоумышленники добыли учётные данные после отдельного инцидента утечки данных, поскольку позже эти данные были обнаружены в общедоступных каналах с утекшей информацией, в открытом доступе, пишет Securitylab.
С помощью учётной записи администратора, имеющей доступ к виртуальному серверу SharePoint, атакующие получили доступ к другому набору учётных данных с административными привилегиями, причём как в локальной сети, так и в Azure Active Directory (ныне именуемом Microsoft Entra ID). Это дало хакерам возможность изучить локальную среду жертвы и выполнить различные запросы к контроллеру домена.
На данный момент личности злоумышленников не установлены. Подробное расследование не выявило доказательств того, что атакующие переместились из локальной среды в облачную инфраструктуру Azure. Однако они получили доступ к информации о хостах и пользователях, а затем разместили эти данные в даркнете, вероятно, с целью финансовой выгоды.
В результате затронутая правительственная организация приняла меры: сбросила пароли всех пользователей, отключила учётную запись бывшего администратора и удалила повышенные привилегии для второй учётной записи.
Отмечается, что ни одна из учётных записей не была защищена многофакторной аутентификацией (MFA), что подчёркивает необходимость надёжной защиты привилегированных учётных записей, предоставляющих доступ к критически важным системам.
