La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha revelado que el entorno de red de una organización gubernamental estatal anónima se vio comprometido a través de una cuenta de administrador que pertenecía a un ex empleado.
«Esto permitió al actor de amenazas autenticarse exitosamente en un punto de acceso interno de red privada virtual (VPN)», dijo la agencia. dicho en un aviso conjunto publicado el jueves junto con el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC).
«El actor de amenazas conectado con el [virtual machine] a través de la VPN de la víctima con la intención de mezclarse con el tráfico legítimo para evadir la detección».
Se sospecha que el actor de amenazas obtuvo las credenciales luego de una violación de datos separada debido al hecho de que las credenciales aparecieron en canales disponibles públicamente que contenían información de cuenta filtrada.
La cuenta de administrador, que tenía acceso a un servidor SharePoint virtualizado, también permitió a los atacantes acceder a otro conjunto de credenciales almacenadas en el servidor, que tenía privilegios administrativos tanto para la red local como para Azure Active Directory (ahora llamado Microsoft Entra ID). ).
Esto hizo posible además explorar el entorno local de la víctima y ejecutar varias consultas de protocolo ligero de acceso a directorios (LDAP) contra un controlador de dominio. Actualmente se desconocen los atacantes detrás de la actividad maliciosa.
Una investigación más profunda sobre el incidente no ha revelado evidencia de que el adversario se haya movido lateralmente del entorno local a la infraestructura de la nube de Azure.
Los atacantes finalmente accedieron a la información del host y del usuario y publicaron la información en la web oscura para obtener una posible ganancia financiera, señaló el boletín, lo que llevó a la organización a restablecer las contraseñas de todos los usuarios, deshabilitar la cuenta de administrador y eliminar los privilegios elevados para la segunda cuenta. .
Vale la pena señalar que ninguna de las dos cuentas tenía habilitada la autenticación multifactor (MFA), lo que subraya la necesidad de proteger cuentas privilegiadas que otorguen acceso a sistemas críticos. También se recomienda implementar el principio de privilegio mínimo y crear cuentas de administrador independientes para segmentar el acceso a entornos locales y de nube.
El desarrollo es una señal de que los actores de amenazas aprovechan cuentas válidas, incluidas aquellas que pertenecen a ex empleados que no han sido eliminadas adecuadamente de Active Directory (AD), para obtener acceso no autorizado a las organizaciones.
«Las cuentas, el software y los servicios innecesarios en la red crean vectores adicionales para que un actor de amenazas se comprometa», dijeron las agencias.
«De forma predeterminada, en Azure AD todos los usuarios pueden registrarse y administrar todos los aspectos de las aplicaciones que crean. Estas configuraciones predeterminadas pueden permitir que un actor de amenazas acceda a información confidencial y se mueva lateralmente en la red. Además, los usuarios que crean una Azure AD se convierten automáticamente en el administrador global de ese inquilino. Esto podría permitir que un actor de amenazas escale privilegios para ejecutar acciones maliciosas».