A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) revelou que a rede de uma organização governamental estadual não identificada foi comprometida por meio de uma conta de administrador pertencente a um ex-funcionário.
"Isso permitiu que o ator de ameaça autenticasse com sucesso um ponto de acesso à rede virtual privada (VPN)", disse a agência em um comunicado conjunto publicado na quinta-feira, junto com o Centro de Compartilhamento e Análise de Informações Multi-Estados (MS-ISAC).
"O ator de ameaça se conectou à [máquina virtual] por meio da VPN da vítima com a intenção de se misturar ao tráfego legítimo para evitar a detecção."
Suspeita-se que o ator de ameaça tenha obtido as credenciais após uma violação de dados separada, pelo fato de as credenciais aparecerem em canais disponíveis ao público contendo informações de conta vazadas.
A conta de administrador, que tinha acesso a um servidor SharePoint virtualizado, também permitiu aos invasores acessar outro conjunto de credenciais armazenadas no servidor, que tinham privilégios administrativos tanto na rede local quanto no Azure Active Directory (agora chamado Microsoft Entra ID).
Isso também tornou possível explorar o ambiente local da vítima e executar várias consultas do protocolo de acesso a diretórios leves (LDAP) contra um controlador de domínio.
Os atacantes por trás da atividade maliciosa são atualmente desconhecidos.
Uma investigação mais aprofundada sobre o incidente não revelou evidências de que o adversário se movesse lateralmente do ambiente local para a infraestrutura em nuvem do Azure.
Os invasores acabaram acessando informações de host e usuário e postando as informações na dark web para provável ganho financeiro, observou o boletim, levando a organização a redefinir senhas para todos os usuários, desativar a conta de administrador, bem como remover os privilégios elevados para a segunda conta.
Vale ressaltar que nenhuma das duas contas tinha autenticação multifator (MFA) ativada, ressaltando a necessidade de proteger contas privilegiadas que concedem acesso a sistemas críticos.
Também é recomendado implementar o princípio de mínimo privilégio e criar contas de administrador separadas para segmentar o acesso a ambientes locais e em nuvem.
O desenvolvimento é um sinal de que os atores de ameaças usam contas válidas, incluindo aquelas pertencentes a ex-funcionários que não foram removidos adequadamente do Active Directory (AD), para obter acesso não autorizado a organizações.
"Contas, softwares e serviços desnecessários na rede criam vetores adicionais para um ator de ameaça comprometer", disseram as agências.
"Por padrão, no Azure AD, todos os usuários podem registrar e gerenciar todos os aspectos dos aplicativos que criam.
Essas configurações padrão podem permitir que um ator de ameaça acesse informações sensíveis e se mova lateralmente na rede.
Além disso, os usuários que criam um Azure AD automaticamente se tornam o Administrador Global desse inquilino.
Isso pode permitir que um ator de ameaça aumente privilégios para executar ações maliciosas."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...