Netværksgiganten siger, at angribere fik første adgang til en medarbejders VPN-klient via en kompromitteret Google-konto.
Cisco Systems afslørede detaljer om et hack i maj af Yanluowang ransomware-gruppen, der udnyttede en kompromitteret medarbejders Google-konto.
Netværksgiganten kalder angrebet et "potentielt kompromis" i et onsdagsopslag af virksomhedens egen Cisco Talos-trusselsforskningsarm.
"Under efterforskningen blev det fastslået, at en Cisco-medarbejders legitimationsoplysninger blev kompromitteret, efter at en angriber fik kontrol over en personlig Google-konto, hvor legitimationsoplysninger gemt i ofrets browser blev synkroniseret," skrev Cisco Talos i en længere oversigt over angrebet.
Retsmedicinske detaljer om angrebet får Cisco Talos-forskere til at tilskrive angrebet Yanluowang-trusselsgruppen, som de fastholder har bånd til både UNC2447 og de berygtede Lapsus$-cybergange.
I sidste ende sagde Cisco Talos, at modstanderne ikke havde succes med at implementere ransomware-malware, men havde succes med at trænge ind i dets netværk og plante en kadre af offensive hacking-værktøjer og udføre intern netværksrekognoscering, "almindeligvis observeret før udbredelsen af ransomware i offermiljøer."
Overliste MFA til VPN-adgang
Kernen i hacket var angriberens evne til at kompromittere den målrettede medarbejders Cisco VPN-værktøj og få adgang til virksomhedens netværk ved hjælp af denne VPN-software.
“Den første adgang til Cisco VPN blev opnået via den vellykkede kompromittering af en Cisco-medarbejders personlige Google-konto. Brugeren havde aktiveret adgangskodesynkronisering via Google Chrome og havde gemt deres Cisco-legitimationsoplysninger i deres browser, hvilket gjorde det muligt for disse oplysninger at synkronisere til deres Google-konto,” skrev Cisco Talos.
Med legitimationsoplysninger i deres besiddelse brugte angribere derefter et væld af teknikker til at omgå multifaktorgodkendelsen knyttet til VPN-klienten. Indsatsen omfattede stemmephishing og en type angreb kaldet MFA-træthed. Cisco Talos beskriver MFA-træthedsangrebsteknikken som "processen med at sende en stor mængde push-anmodninger til målets mobile enhed, indtil brugeren accepterer, enten ved et uheld eller blot for at forsøge at dæmpe de gentagne push-meddelelser, de modtager."
MFA spoofing angreb, der blev udnyttet mod Cisco-medarbejdere, lykkedes i sidste ende og gjorde det muligt for angriberne at køre VPN-softwaren som den målrettede Cisco-medarbejder. "Når angriberen havde fået den første adgang, tilmeldte de en række nye enheder til MFA og blev godkendt med succes til Cisco VPN," skrev forskere.
"Angriberen eskalerede derefter til administrative privilegier, så de kunne logge ind på flere systemer, hvilket advarede vores Cisco Security Incident Response Team (CSIRT), som efterfølgende reagerede på hændelsen," sagde de.
Værktøjer brugt af angribere inkluderede LogMeIn og TeamViewer og også stødende sikkerhedsværktøjer såsom Cobalt Strike, PowerSploit, Mimikatz og Impacket.
Mens MFA betragtes som en væsentlig sikkerhedsposition for organisationer, er den langt fra hacksikker. Sidste måned, Microsoft-forskere afslørede en massiv Phishing kampagne, der kan stjæle legitimationsoplysninger, selvom en bruger har multi-factor authentication (MFA) aktiveret og indtil videre har forsøgt at kompromittere mere end 10,000 organisationer.
Cisco fremhæver sin Incident Response
Som svar på angrebet implementerede Cisco straks en nulstilling af adgangskode for hele virksomheden, ifølge Cisco Talos-rapporten.
"Vores resultater og efterfølgende sikkerhedsbeskyttelser som følge af disse kundeengagementer hjalp os med at bremse og begrænse angriberens progression," skrev de.
Virksomheden oprettede derefter to Clam AntiVirus-signaturer (Win.Exploit.Kolobko-9950675-0 og Win.Backdoor.Kolobko-9950676-0) som en forholdsregel for at desinficere eventuelle yderligere kompromitterede aktiver. Clam AntiVirus Signatures (eller ClamAV) er et antimalware-værktøjssæt på tværs af platforme, der kan opdage en række forskellige malware og vira.
"Trusselsaktører bruger almindeligvis social engineering-teknikker til at kompromittere mål, og på trods af hyppigheden af sådanne angreb, står organisationer fortsat over for udfordringer, der afbøder disse trusler. Brugeruddannelse er altafgørende for at forhindre sådanne angreb, herunder at sikre, at medarbejderne kender de legitime måder, supportpersonale vil kontakte brugere på, så medarbejderne kan identificere svigagtige forsøg på at indhente følsomme oplysninger,” skrev Cisco Talos.
