美国州政府网络被攻击事件概况

重点信息

美国某州政府机构因前员工的管理权限被攻击。攻击者利用遗留凭证进行内部网络入侵，并进行侦察活动。政府机构的账户未启用多因素认证。CISA建议提高账户安全性，清理闲置账户，限制管理账户使用，并采取防钓鱼的多因素认证措施。

根据SecurityWeek的报道，美国网络安全和基础设施安全局CISA揭露了一起发生在某州政府机构的网络攻击事件。该机构的网络遭到入侵，原因是前员工的管理凭证被从以往的数据泄露中获取。

攻击者利用这名前员工的凭证访问了SharePoint和其工作站，从而潜入内部VPN并进行侦查。此外，另一名员工的凭证也被从SharePoint服务器中提取出来，这些凭证被用于实现本地Active Directory和Azure AD的身份验证。黑客通过对域控制器执行LDAP查询，窃取了该机构的文件，包括其元数据和主机及用户详情，随后被盗数据在一个黑客论坛上发布。对被攻击用户账户的进一步审查揭示出缺乏多因素认证。

这种网络安全漏洞促使CISA呼吁各机构加强账户安全性，建议审查管理账户并删除不再使用的账户，同时限制多个管理账户的使用，并采用防钓鱼的多因素认证MFA手段，提高整体网络安全水平。

加速器梯子建议措施说明审查管理账户删除不再被使用的账户限制多管理账户使用降低安全风险引入针对钓鱼攻击的MFA措施提升账户访问的安全性

提醒各组织，确保网络安全不仅是技术问题，更是管理与操作的结合。