De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft onthuld dat de netwerkomgeving van een niet bij naam genoemde staatsoverheidsorganisatie is gecompromitteerd via een beheerdersaccount van een voormalige werknemer.
“Hierdoor kon de dreigingsactor zich met succes authenticeren bij een intern virtueel particulier netwerk (VPN) toegangspunt”, aldus het agentschap in een gezamenlijk advies dat donderdag werd gepubliceerd naast het Multi-State Information Sharing and Analysis Center (MS-ISAC).
“De bedreigingsacteur is verbonden met de [virtual machine] via de VPN van het slachtoffer met de bedoeling om op te gaan in legitiem verkeer om detectie te omzeilen.”
Er wordt vermoed dat de bedreigingsacteur de inloggegevens heeft verkregen na een afzonderlijk datalek, vanwege het feit dat de inloggegevens verschenen op openbaar beschikbare kanalen met gelekte accountinformatie.
Het beheerdersaccount, dat toegang had tot een gevirtualiseerde SharePoint-server, stelde de aanvallers ook in staat toegang te krijgen tot een andere set inloggegevens die op de server waren opgeslagen en die beheerdersrechten hadden voor zowel het on-premises netwerk als de Azure Active Directory (nu Microsoft Entra ID genoemd). ).
Dit maakte het verder mogelijk om de lokale omgeving van het slachtoffer te verkennen en verschillende LDAP-query’s (Lightweight Directory Access Protocol) uit te voeren op een domeincontroller. De aanvallers achter de kwaadaardige activiteit zijn momenteel onbekend.
Een diepgaander onderzoek naar het incident heeft geen bewijs opgeleverd dat de tegenstander lateraal van de on-premises omgeving naar de Azure-cloudinfrastructuur is overgestapt.
De aanvallers hadden uiteindelijk toegang gekregen tot host- en gebruikersinformatie en plaatsten de informatie op het dark web voor waarschijnlijk financieel gewin, aldus het bulletin, waarbij de organisatie werd gevraagd de wachtwoorden voor alle gebruikers opnieuw in te stellen, het beheerdersaccount uit te schakelen en de verhoogde rechten voor het tweede account te verwijderen. .
Het is de moeite waard erop te wijzen dat bij geen van de twee accounts multi-factor authenticatie (MFA) is ingeschakeld, wat de noodzaak onderstreept van het beveiligen van geprivilegieerde accounts die toegang verlenen tot kritieke systemen. Het wordt ook aanbevolen om het principe van minimale bevoegdheden te implementeren en afzonderlijke beheerdersaccounts te maken om de toegang tot on-premises en cloudomgevingen te segmenteren.
De ontwikkeling is een teken dat bedreigingsactoren geldige accounts gebruiken, waaronder die van voormalige werknemers die niet op de juiste manier uit de Active Directory (AD) zijn verwijderd, om ongeautoriseerde toegang tot organisaties te verkrijgen.
“Onnodige accounts, software en diensten in het netwerk creëren extra vectoren waarmee een bedreigingsacteur compromissen kan sluiten”, aldus de agentschappen.
“Standaard kunnen alle gebruikers in Azure AD alle aspecten van de applicaties die ze maken registreren en beheren. Deze standaardinstellingen kunnen een bedreigingsactor in staat stellen toegang te krijgen tot gevoelige informatie en zich lateraal in het netwerk te verplaatsen. Bovendien worden gebruikers die een Azure AD maken automatisch de globale beheerder voor die tenant. Hierdoor kan een bedreigingsacteur bevoegdheden escaleren om kwaadaardige acties uit te voeren.”