ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), adı açıklanmayan bir devlet devlet kuruluşunun ağ ortamının, eski bir çalışana ait bir yönetici hesabı aracılığıyla ele geçirildiğini ortaya çıkardı.
Ajans, “Bu, tehdit aktörünün dahili bir sanal özel ağ (VPN) erişim noktasında başarılı bir şekilde kimlik doğrulaması yapmasına olanak sağladı” dedi. söz konusu Çok Durumlu Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ile birlikte Perşembe günü yayınlanan ortak bir danışma belgesinde.
“Tehdit aktörü bağlantılı [virtual machine] Tespit edilmekten kaçınmak için meşru trafiğe karışmak amacıyla kurbanın VPN’i aracılığıyla.”
Kimlik bilgilerinin sızdırılmış hesap bilgileri içeren kamuya açık kanallarda görünmesi nedeniyle, tehdit aktörünün kimlik bilgilerini ayrı bir veri ihlali sonrasında elde ettiğinden şüpheleniliyor.
Sanallaştırılmış bir SharePoint sunucusuna erişimi olan yönetici hesabı, saldırganların sunucuda depolanan, hem şirket içi ağda hem de Azure Active Directory’de (artık Microsoft Entra ID olarak adlandırılıyor) yönetici ayrıcalıklarına sahip başka bir kimlik bilgileri kümesine erişmesine de olanak sağladı. ).
Bu ayrıca kurbanın şirket içi ortamının keşfedilmesini ve bir etki alanı denetleyicisine karşı çeşitli hafif dizin erişim protokolü (LDAP) sorgularının yürütülmesini mümkün kıldı. Kötü niyetli etkinliğin arkasındaki saldırganlar şu anda bilinmiyor.
Olayla ilgili daha derin bir araştırma, saldırganın şirket içi ortamdan Azure bulut altyapısına yatay olarak geçtiğine dair hiçbir kanıt ortaya çıkarmadı.
Bültende, saldırganların nihai olarak ana bilgisayar ve kullanıcı bilgilerine eriştikleri ve muhtemelen finansal kazanç elde etmek için bu bilgileri karanlık ağda yayınladıklarına dikkat çekilen bültende, kuruluşun tüm kullanıcılar için şifreleri sıfırlaması, yönetici hesabını devre dışı bırakması ve ikinci hesap için yükseltilmiş ayrıcalıkları kaldırması istendi. .
Her iki hesapta da çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmediğini belirtmekte fayda var; bu da kritik sistemlere erişim sağlayan ayrıcalıklı hesapların güvenliğinin sağlanması ihtiyacının altını çiziyor. Ayrıca, şirket içi ve bulut ortamlarına erişimi bölümlere ayırmak için en az ayrıcalık ilkesinin uygulanması ve ayrı yönetici hesapları oluşturulması da önerilir.
Bu gelişme, tehdit aktörlerinin, kuruluşlara yetkisiz erişim elde etmek için Active Directory’den (AD) uygun şekilde kaldırılmamış eski çalışanlara ait olanlar da dahil olmak üzere geçerli hesapları kullandığının bir işaretidir.
Ajanslar, “Ağdaki gereksiz hesaplar, yazılımlar ve hizmetler, bir tehdit aktörünün tehlikeye atabileceği ek vektörler yaratıyor” dedi.
“Varsayılan olarak, Azure AD’de tüm kullanıcılar oluşturdukları uygulamaları tüm yönleriyle kaydedebilir ve yönetebilir. Bu varsayılan ayarlar, bir tehdit aktörünün hassas bilgilere erişmesine ve ağda yanal olarak hareket etmesine olanak sağlayabilir. Ayrıca, Azure AD oluşturan kullanıcılar otomatik olarak bu kiracının Genel Yöneticisi. Bu, bir tehdit aktörünün kötü amaçlı eylemler yürütmek için ayrıcalıkları yükseltmesine olanak tanıyabilir.”