Korábbi alkalmazott feltört fiókját használták
A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) és a több államot érintő információmegosztó és elemző központ (MS-ISAC) incidensreagálási értékelést végzett egy állami kormányzati szervezet hálózati környezetéről, miután egy dark webes brókeroldalon host- és felhasználói információkat, köztük metaadatokat tartalmazó dokumentumokat tettek közzé. Az elemzés megerősítette, hogy egy azonosítatlan fenyegető szereplő egy korábbi alkalmazott fiókján keresztül kompromittálta a hálózati rendszergazdai hitelesítő adatokat – ez a fenyegető szereplők által gyakran alkalmazott technika -, hogy sikeresen hitelesítse magát egy belső virtuális magánhálózati (VPN) hozzáférési ponton, tovább navigáljon az áldozat helyiségi környezetében, és különböző LDAP (Lightweight Directory Access Protocol) lekérdezéseket hajtson végre egy tartományvezérlőn. Az elemzés megállapította, hogy nem volt arra utaló jel, hogy a fenyegető szereplő tovább veszélyeztette volna a szervezetet azáltal, hogy a helyhez kötött környezetből oldalirányban az Azure-környezetbe lépett át.