CISA（网络安全和基础设施安全局）在暗网经纪网站上发现包含政府组织用户信息（包括元数据）的文件后，便发布了网络安全建议。

而这些文件的出现是由于攻击者利用该组织前雇员的帐户设法破坏了网络管理员凭据。攻击者设法对内部虚拟专用网络 (VPN)接入点进行身份验证，进一步导航攻击目标的本地环境，并对域控制器执行各种轻量级目录访问协议 (LDAP) 查询。

CISA 怀疑帐户详细信息是通过数据泄露落入攻击者手中的。如果员工离开时该帐户已被禁用，就不会造成问题；目前该帐户仍然可以通过管理权限访问两个虚拟化服务器，包括 SharePoint 和工作站。

在 SharePoint 服务器上，攻击者获取了存储在服务器本地的全局域管理员凭据。此帐户还为攻击者提供了对本地 Active Directory (AD) 和 Azure AD 的访问权限。攻击者执行 LDAP 查询来收集用户、主机和信任关系信息。

缓解建议

当员工离职时，应该尽快删除他们的权限并更改密码；

限制一名用户使用多个管理员帐户；

为本地和 Azure 环境创建单独的管理员帐户以分段访问；

实施最小权限原则，仅授予必要的访问权限，在完成所需的任务后撤销特权；

使用防网络钓鱼的多重身份验证 (MFA)；

建立强大且持续的用户管理流程，以确保离职员工的帐户被删除并且无法再访问网络；

通过全面的资产记录、跟踪当前版本信息以保持对过时软件的认识以及将资产映射到业务和关键功能，维护强大的资产管理策略；

如果没有漏洞和修补程序管理解决方案，请为所有操作系统、应用程序和软件建立例行修补周期；

密切关注环境中发生的情况，及时了解非典型事件和日志。