News
Um ciberatacante ganhou acesso à rede de uma organização do governo dos Estados Unidos através da utilização de credenciais de um antigo empregado dessa mesma agência
20/02/2024
De acordo com informações partilhadas pela CISA, um agente de ameaça conseguiu ter acesso à rede de uma organização governamental dos Estados Unidos da América através da utilização de credenciais comprometidas de uma conta administrativa de um antigo empregado. Através da utilização dessas credenciais comprometidas, os ciberatacantes conseguiram ter acesso à VPN interna da organização, realizar o reconhecimento dos ambientes on-premises e executar queries LDAP num controlador do domínio. A organização – que não teve o seu nome referido pela CISA – não removeu a conta do antigo colaborador. As credenciais tinham acesso a dois servidores virtualizados – à workstation do empregado e ao SharePoint – foram obtidas noutro data breach e foram encontradas em canais de partilha deste tipo de informações. A partir do servidor do SharePoint, o ciberatacantes conseguiu extrair as credenciais de um segundo empregado e conseguiu autenticar-se para o Active Directory on-premises e Azure AD, obtendo privilégios administrativos. |