毎日新聞の記事 [mainichi.jp]には、

侵入者は8月22日、院内LANのサーバーにアクセスするための「管理者権限」のIDやパスワードを何らかの方法で入手。サーバーや運用管理パソコンを感染させ、全議員のIDやパスワード情報を取得した。パスワードは暗号化されていたが解読も可能で、一部の議員の受信メールが盗み見られた可能性があるという。

とあります。
トロイの木馬にやられるのは、それはそれで問題ですが、それよりも、「「管理者権限」のIDやパスワードを何らかの方法で入手」できたことの方が大問題です。
また、ユーザサービス用ネットワークからサーバーや運用管理パソコンにアクセスした様ですが、この経路はなんだったのでしょうか？ユーザサービス経由であれば、ある意味仕方がありません。しかし、例えばSSHなんかの管理用サービスがユーザサービス用ネットワークからアクセスできていたのだとすると、設計上のミスなのではないでしょうか。
暗号化されたパスワードが解読されるのは、ある意味仕方がありません。/etc/{passwd,shadow}が盗まれて、辞書攻撃されれただけでもかなりの確率で当てることができるでしょう。文字数を限定してブルートフォース攻撃をやっても当たるかもしれない。

衆院事務局は8月下旬、システムを管理しているNTT東日本から異変の報告を受けたが、深刻なサイバー攻撃との認識はなかったという。

これも問題ですね。ITの素人である事務局が深刻度を見積もれないのは、仕方ないとしても、ITのプロであるNTT東日本の説明がマズかったとは言えるでしょうね。

例えば、ある一般ユーザの権限が取れた後に、権限上昇を許すセキュリティホールをづいて、最終的に Active Directory の管理者権限を奪取できれば、全アカウント情報を取得できます。UNIX 系 OS であれば、何らかの形で root をとれたら、メールサーバ等が認証に使っているアカウント情報を取得できます。

標的型攻撃で戦略的なものなら、最初のマルウェア付きのメールは、とっかかりでしかなく、これが成功すれば、言わば、部外者がコントロールできる PC が内部にある状態になります。こうなると、様々な情報を攻撃者が収集でき、それを元に攻撃対象を見つけて攻略し、最終的にはサーバ等の管理者権限の奪取を目指す、という流れになります

....と、某勉強会での講師の方の話の受け売りで、実際にその現場を見たわけじゃないですが.....。

全議員のIDとパスワードが暗号化された状態で流出していた

ということなので、UNIX 系であれば、/etc/shadow、Windows 系であれば、SAM データベース、LDAP を使っていれば、userPassword のアトリビュートがハッシュ値で保存されているもの、といった類にデータが流失したことになると思いますが、正しいパスワードの付け方をしてれば、ブルートフォースで破るのは難しいです。
ただ、みんなが正しいパスワードを付けている保証は無いので、安易なパスワードが設定されているアカウントに関しては、実際のパスワードが判明するでしょう。
あと、Windows 系の場合、LM ハッシュが残って、かつ、Ophcrack で有償のレインボーテーブルを使えば、ほぼ、どんなパスワードでも判明します。

ともかくも、現時点では技術的な情報に乏しいので、本当のところはよく分からないですが。