يقول عملاق الشبكات إن المهاجمين حصلوا على وصول أولي إلى عميل VPN الخاص بالموظف عبر حساب Google المخترق.
كشفت Cisco Systems عن تفاصيل اختراق مايو من قبل مجموعة Yanluowang ransomware التي استفادت من حساب Google لموظف مخترق.
يصف عملاق الشبكات الهجوم بأنه "حل وسط محتمل" في منشور الأربعاء بواسطة ذراع أبحاث التهديدات Cisco Talos الخاص بالشركة.
كتبت سيسكو تالوس في بيان تفصيلي مطول للهجوم: "أثناء التحقيق ، تم تحديد أن بيانات اعتماد أحد موظفي Cisco قد تم اختراقها بعد أن تمكن المهاجم من التحكم في حساب Google الشخصي حيث تتم مزامنة بيانات الاعتماد المحفوظة في متصفح الضحية".
دفعت تفاصيل الطب الشرعي للهجوم باحثي سيسكو تالوس إلى إرجاع الهجوم إلى مجموعة التهديد Yanluowang ، التي يحتفظون بصلاتهم بكل من UNC2447 و Lapsus $ cybergangs سيئة السمعة.
في النهاية ، قالت شركة Cisco Talos إن الخصوم لم ينجحوا في نشر برامج الفدية الضارة ، ولكنهم نجحوا في اختراق شبكتها وزرع كادر من أدوات القرصنة الهجومية وإجراء استطلاع داخلي للشبكة "يُلاحظ بشكل شائع مما أدى إلى نشر برامج الفدية الضارة في بيئات الضحايا".
تغلب على MFA للوصول إلى VPN
كان جوهر الاختراق هو قدرة المهاجمين على اختراق الأداة المساعدة Cisco VPN الخاصة بالموظف المستهدف والوصول إلى شبكة الشركة باستخدام برنامج VPN هذا.
"تم تحقيق الوصول الأولي إلى Cisco VPN عبر الاختراق الناجح لحساب Google الشخصي لموظف Cisco. قام المستخدم بتمكين مزامنة كلمة المرور عبر Google Chrome وقام بتخزين بيانات اعتماد Cisco الخاصة به في متصفحه ، مما يتيح مزامنة هذه المعلومات مع حساب Google الخاص به ، "كتب Cisco Talos.
مع وجود بيانات الاعتماد في حوزتهم ، استخدم المهاجمون بعد ذلك العديد من التقنيات لتجاوز المصادقة متعددة العوامل المرتبطة بعميل VPN. تضمنت الجهود تصيدًا صوتيًا ونوعًا من الهجمات يسمى إجهاد MFA. تصف Cisco Talos تقنية هجوم إجهاد MFA بأنها "عملية إرسال عدد كبير من طلبات الدفع إلى الجهاز المحمول للهدف حتى يقبل المستخدم ، إما عن طريق الخطأ أو لمحاولة إسكات الإخطارات المتكررة التي يتلقاها."
• انتحال MFA نجحت الهجمات التي تم رفعها ضد موظف Cisco في النهاية وسمحت للمهاجمين بتشغيل برنامج VPN بصفتهم موظف Cisco المستهدف. كتب الباحثون: "بمجرد حصول المهاجم على وصول مبدئي ، قاموا بتسجيل سلسلة من الأجهزة الجديدة لـ MFA والمصادقة بنجاح على Cisco VPN".
وقالوا: "صعد المهاجم بعد ذلك إلى الامتيازات الإدارية ، مما سمح له بتسجيل الدخول إلى أنظمة متعددة ، مما أدى إلى تنبيه فريق الاستجابة للحوادث الأمنية من Cisco (CSIRT) ، والذي استجاب لاحقًا للحادث".
تضمنت الأدوات التي يستخدمها المهاجمون LogMeIn و TeamViewer وكذلك أدوات الأمان الهجومية مثل Cobalt Strike و PowerSploit و Mimikatz و Impacket.
بينما يعتبر أسلوب العائالت المتعددة MFA وضعًا أمنيًا أساسيًا للمؤسسات ، إلا أنه بعيد عن الحماية من الاختراق. الشهر الماضي ، كشف باحثو مايكروسوفت ضخم التصيد حملة يمكنها سرقة بيانات الاعتماد حتى إذا تم تمكين المصادقة متعددة العوامل (MFA) لدى المستخدم وحاول حتى الآن اختراق أكثر من 10,000 مؤسسة.
تسلط Cisco الضوء على استجابتها للحوادث
رداً على الهجوم ، طبقت Cisco إعادة تعيين كلمة المرور على مستوى الشركة على الفور ، وفقًا لتقرير Cisco Talos.
وكتبوا: "ساعدتنا النتائج التي توصلنا إليها والحماية الأمنية اللاحقة الناتجة عن تفاعلات العملاء هذه على إبطاء واحتواء تقدم المهاجم".
قامت الشركة بعد ذلك بإنشاء توقيعين من Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 و Win.Backdoor.Kolobko-9950676-0) كإجراء احترازي لتطهير أي أصول مخترقة إضافية محتملة. توقيعات Clam AntiVirus (أو ClamAV) عبارة عن مجموعة أدوات لمكافحة البرامج الضارة عبر الأنظمة الأساسية قادرة على اكتشاف مجموعة متنوعة من البرامج الضارة والفيروسات.
عادةً ما يستخدم الفاعلون المعنيون بالتهديدات تقنيات الهندسة الاجتماعية لتسوية الأهداف ، وعلى الرغم من تكرار مثل هذه الهجمات ، لا تزال المنظمات تواجه تحديات في التخفيف من تلك التهديدات. يعد تعليم المستخدم أمرًا بالغ الأهمية في إحباط مثل هذه الهجمات ، بما في ذلك التأكد من معرفة الموظفين بالطرق المشروعة التي سيتواصل بها موظفو الدعم مع المستخدمين حتى يتمكن الموظفون من تحديد المحاولات الاحتيالية للحصول على معلومات حساسة ".
