Der Netzwerkgigant sagt, Angreifer hätten über ein kompromittiertes Google-Konto ersten Zugriff auf den VPN-Client eines Mitarbeiters erhalten.
Cisco Systems enthüllte Details eines Mai-Hacks durch die Yanluowang-Ransomware-Gruppe, die das Google-Konto eines kompromittierten Mitarbeiters nutzte.
Der Netzwerkgigant nennt den Angriff einen „potenziellen Kompromiss“ in einem Mittwochspost vom unternehmenseigenen Cisco Talos Threat Research Arm.
„Während der Untersuchung wurde festgestellt, dass die Zugangsdaten eines Cisco-Mitarbeiters kompromittiert wurden, nachdem ein Angreifer die Kontrolle über ein persönliches Google-Konto erlangt hatte, mit dem die im Browser des Opfers gespeicherten Zugangsdaten synchronisiert wurden“, schrieb Cisco Talos in einer ausführlichen Aufschlüsselung des Angriffs.
Forensische Details des Angriffs veranlassen Cisco Talos-Forscher, den Angriff der Yanluowang-Bedrohungsgruppe zuzuschreiben, von der sie behaupten, dass sie Verbindungen sowohl zur UNC2447 als auch zu den berüchtigten Lapsus$-Cybergangs hat.
Letztendlich sagte Cisco Talos, die Gegner seien nicht erfolgreich bei der Bereitstellung von Ransomware-Malware gewesen, seien jedoch erfolgreich darin gewesen, in ihr Netzwerk einzudringen und einen Kader offensiver Hacking-Tools zu installieren und interne Netzwerkaufklärung durchzuführen, „die häufig im Vorfeld der Bereitstellung von Ransomware in Opferumgebungen beobachtet wird“.
MFA für den VPN-Zugriff überlisten
Der Kern des Hacks war die Fähigkeit des Angreifers, das Cisco VPN-Dienstprogramm des betroffenen Mitarbeiters zu kompromittieren und mit dieser VPN-Software auf das Unternehmensnetzwerk zuzugreifen.
„Der anfängliche Zugriff auf das Cisco VPN wurde über die erfolgreiche Kompromittierung des persönlichen Google-Kontos eines Cisco-Mitarbeiters erreicht. Der Benutzer hatte die Passwortsynchronisierung über Google Chrome aktiviert und seine Cisco-Anmeldeinformationen in seinem Browser gespeichert, sodass diese Informationen mit seinem Google-Konto synchronisiert werden konnten“, schrieb Cisco Talos.
Mit Zugangsdaten in ihrem Besitz nutzten Angreifer dann eine Vielzahl von Techniken, um die an den VPN-Client gebundene Multifaktor-Authentifizierung zu umgehen. Zu den Bemühungen gehörten Voice-Phishing und eine Angriffsart namens MFA-Müdigkeit. Cisco Talos beschreibt die MFA-Müdigkeitsangriffstechnik als „das Senden einer großen Menge von Push-Anfragen an das mobile Gerät des Ziels, bis der Benutzer akzeptiert, entweder versehentlich oder einfach, um zu versuchen, die wiederholten Push-Benachrichtigungen, die er erhält, stumm zu schalten.“
Das MFA-Spoofing Angriffe gegen Cisco-Mitarbeiter waren letztendlich erfolgreich und ermöglichten es den Angreifern, die VPN-Software als gezielter Cisco-Mitarbeiter auszuführen. „Sobald der Angreifer den ersten Zugriff erhalten hatte, registrierte er eine Reihe neuer Geräte für MFA und authentifizierte sich erfolgreich beim Cisco VPN“, schrieben die Forscher.
„Der Angreifer eskalierte dann zu Administratorrechten und erlaubte ihm, sich bei mehreren Systemen anzumelden, was unser Cisco Security Incident Response Team (CSIRT) alarmierte, das anschließend auf den Vorfall reagierte“, sagten sie.
Zu den von Angreifern verwendeten Tools gehörten LogMeIn und TeamViewer sowie offensive Sicherheitstools wie Cobalt Strike, PowerSploit, Mimikatz und Impacket.
MFA gilt zwar als unverzichtbarer Sicherheitsaspekt für Unternehmen, ist aber alles andere als hacksicher. Im vergangenen Monat, Microsoft-Forscher aufgedeckt eine gewaltige Phishing Kampagne, die Anmeldeinformationen stehlen kann, selbst wenn ein Benutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert hat, und hat bisher versucht, mehr als 10,000 Organisationen zu kompromittieren.
Cisco hebt seine Incident Response hervor
Als Reaktion auf den Angriff hat Cisco laut dem Cisco Talos-Bericht sofort ein unternehmensweites Passwort-Reset durchgeführt.
„Unsere Erkenntnisse und die daraus resultierenden Sicherheitsvorkehrungen, die sich aus diesen Kundenengagements ergeben, haben uns geholfen, das Voranschreiten des Angreifers zu verlangsamen und einzudämmen“, schrieben sie.
Das Unternehmen erstellte dann zwei Clam AntiVirus-Signaturen (Win.Exploit.Kolobko-9950675-0 und Win.Backdoor.Kolobko-9950676-0) als Vorsichtsmaßnahme, um alle möglichen zusätzlichen kompromittierten Assets zu desinfizieren. Clam AntiVirus Signatures (oder ClamAV) ist ein plattformübergreifendes Antimalware-Toolkit, das eine Vielzahl von Malware und Viren erkennen kann.
„Bedrohungsakteure verwenden häufig Social-Engineering-Techniken, um Ziele zu kompromittieren, und trotz der Häufigkeit solcher Angriffe stehen Unternehmen weiterhin vor Herausforderungen, um diese Bedrohungen abzuschwächen. Benutzerschulung ist von größter Bedeutung, um solche Angriffe zu vereiteln, einschließlich der Sicherstellung, dass Mitarbeiter die legitimen Wege kennen, auf denen Supportmitarbeiter Benutzer kontaktieren, damit Mitarbeiter betrügerische Versuche erkennen können, an vertrauliche Informationen zu gelangen“, schrieb Cisco Talos.
- Blockchain
- Verletzung
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- Hacks
- Kaspersky
- Malware
- McAfee
- NexBLOC
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- VPN
- Website-Sicherheit
- Zephyrnet
