Хакеры взломали государственную организацию в США, заявляет CISA. на ХатаМатате

Хакеры взломали государственную организацию в США, заявляет CISA.

16 февраля 2024 года Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) сообщило, что злоумышленники скрытно проникли в организацию неуказанного государственного учреждения путем использования учетной записи администратора, принадлежащей бывшему сотруднику. Угроза для кибербезопасности составляет факт, что злоумышленники получили доступ к сетевой инфраструктуре организации через учетную запись администратора, находящуюся у бывшего сотрудника.

CISA и Межгосударственный центр обмена информацией и анализа (MS-ISAC) опубликовали совместную Кибербезопасностную Рекомендацию (CSA), с целью предоставить сетевым защитникам тактику, техники и процедуры, использованные злоумышленниками. После публикации документов организации на темном вебе, эксперты провели оценку инцидента с целью ответной реакции организации.

Злоумышленники скомпрометировали учетные данные администратора сети через учетную запись бывшего сотрудника, которая была успешно использована для аутентификации внутренней виртуальной частной сети (VPN). Затем злоумышленники выполнили различные запросы LDAP к контроллеру домена. Важно отметить, что злоумышленники не получили доступ к чувствительным данным, которые находятся в Azure среде.

Отчет, опубликованный CISA, гласит: "Логи показывают, что злоумышленники впервые подключились с неизвестной виртуальной машины (VM) к жертве через IP-адреса, находящиеся в пределах внутреннего диапазона VPN.

Рекомендуемые новости

Экспорт китайских автомобилей стремительно растет, частично компенсируя падение продаж на внутреннем рынке

16 мая

6372

Chase Buchanan Wealth Management публикует новый бесплатный гид по итальянской налоговой системе для экспатов

14 мая

188

Эти штаты подвержены риску значительного повышения страховых взносов для домовладельцев, если сезон ураганов 2024 года будет активным

14 мая

323

Испанский парламент рассмотрит законопроект о предоставлении вида на жительство незаслуженно находящимся иммигрантам

16 мая

834

Чешский миллиардер делает ставку на лотереи для роста

14 мая

137

Рекомендуемая недвижимость

Продажа квартиры в Сан-Франциско 522 764 $

США,Сан-Франциско

4 спальни

2 санузла

178 м²

Продажа дома в Майами 26 581 373 $

США,Майами

6 спален

9 санузлов

870 м²

Продажа дома в Нью-Йорке 68 048 171 $

США,Нью-Йорк

11 спален

14 санузлов

1841 м²

Продажа таунхауса в Нью-Йорке 5 316 319 $

США,Нью-Йорк

6 спален

4 санузла

380 м²

Продажа виллы в Майами 9 563 927 $

США,Майами

6 спален

7 санузлов

528 м²

Продажа виллы в Майами 14 353 939 $

США,Майами

7 спален

7 санузлов

640 м²

CISA и MS-ISAC пришли к выводу, что злоумышленники подключились к VM через VPN жертвы с целью смешаться с легитимным трафиком, чтобы избежать обнаружения".

Вероятно, злоумышленники получили учетные данные администратора от стороннего утечки данных. Они также получили доступ к отдельному набору учетных данных, находящихся на сервере SharePoint, что дало им права администратора как в сети организации, так и в Azure Active Directory. Отчет содержит множество интересных деталей о действиях злоумышленников и предлагает меры по противодействию в соответствии с целями кибербезопасности, установленными CISA и Национальным институтом стандартов и технологий, которые рекомендуются всем критической инфраструктуре и сетевым защитникам. CISA не смогла установить, к каким конкретным злоумышленникам относится атака.