Cisco kinnitab häkitud töötaja Google'i konto kaudu võrgu rikkumise

Cisco Systems paljastas Yanluowangi lunavaragrupi maikuu häkkimise üksikasjad, mis kasutasid ohustatud töötaja Google'i kontot.

Võrguhiiglane nimetab rünnakut "potentsiaalseks kompromissiks" kolmapäevases postituses ettevõtte enda Cisco Talose ohuuuringute osakond.

"Uurimise käigus tehti kindlaks, et Cisco töötaja mandaadid sattusid ohtu pärast seda, kui ründaja sai kontrolli isikliku Google'i konto üle, kus sünkrooniti ohvri brauserisse salvestatud mandaate," kirjutas Cisco Talos rünnaku pikemas jaotuses.

Rünnaku kohtuekspertiisi üksikasjad sunnivad Cisco Talose uurijaid omistama rünnaku Yanluowangi ohurühmale, millel on nende väitel sidemed nii UNC2447 kui ka kurikuulsate Lapsus$ kübergangidega.

Lõppkokkuvõttes ütles Cisco Talos, et vastastel ei õnnestunud lunavara pahavara juurutada, küll aga õnnestus tungida selle võrku ja rajada ründavate häkkimistööriistade kaader ning viia läbi sisemine võrguluure, "mida tavaliselt täheldatakse lunavara juurutamiseni ohvrikeskkondades".

Kavaldamine MFA VPN-i juurdepääsu jaoks

Häkkimise tuum oli ründajate võime ohustada sihikule võetud töötaja Cisco VPN-i utiliiti ja pääseda selle VPN-tarkvara abil ettevõtte võrku.

„Esialgne juurdepääs Cisco VPN-ile saavutati tänu Cisco töötaja isikliku Google'i konto edukale kompromissile. Kasutaja oli lubanud Google Chrome'i kaudu paroolide sünkroonimise ja salvestanud oma Cisco mandaadid oma brauserisse, võimaldades sellel teabel sünkroonida oma Google'i kontoga," kirjutas Cisco Talos.

Nende valduses olevate mandaatidega ründajad kasutasid VPN-kliendiga seotud mitmefaktorilisest autentimisest möödahiilimiseks paljusid tehnikaid. Jõupingutused hõlmasid andmepüügi häält ja rünnakut, mida nimetatakse MFA väsimuseks. Cisco Talos kirjeldab MFA väsimusrünnaku tehnikat kui "suure hulga tõukepäringute saatmist sihtmärgi mobiilseadmesse, kuni kasutaja nõustub kas kogemata või lihtsalt selleks, et vaigistada korduvaid tõuketeateid, mida nad saavad."

. MFA võltsimine Cisco töötaja vastu suunatud rünnakud olid lõpuks edukad ja võimaldasid ründajatel käitada VPN-tarkvara sihtmärgiks oleva Cisco töötajana. "Kui ründaja oli saanud esialgse juurdepääsu, registreerisid nad MFA jaoks rea uusi seadmeid ja autentisid edukalt Cisco VPN-i," kirjutasid teadlased.

"Seejärel omandas ründaja administraatoriõigused, võimaldades neil mitmesse süsteemi sisse logida, mis teavitas meie Cisco turvaintsidentidele reageerimise meeskonda (CSIRT), kes seejärel intsidendile reageeris," ütlesid nad.

Ründajate kasutatud tööriistade hulka kuulusid LogMeIn ja TeamViewer ning ka solvavad turvatööriistad, nagu Cobalt Strike, PowerSploit, Mimikatz ja Impacket.

Kuigi MFA-d peetakse organisatsioonide jaoks oluliseks turvapositsiooniks, pole see kaugeltki häkkimiskindel. Eelmine kuu, Microsofti teadlased avastasid massiivne Phishing kampaania, mis võib varastada mandaate isegi siis, kui kasutajal on mitmefaktoriline autentimine (MFA) lubatud ja ta on siiani püüdnud rünnata rohkem kui 10,000 XNUMX organisatsiooni.

Cisco tõstab esile oma intsidentidele reageerimise

Cisco Talose aruande kohaselt rakendas Cisco vastuseks rünnakule kohe kogu ettevõtte parooli lähtestamise.

"Meie avastused ja nendest klientide kaasamisest tulenevad hilisemad turvakaitsemeetmed aitasid meil ründaja edenemist aeglustada ja ohjeldada," kirjutasid nad.

Ettevõte lõi seejärel kaks Clam AntiVirus signatuuri (Win.Exploit.Kolobko-9950675-0 ja Win.Backdoor.Kolobko-9950676-0), et desinfitseerida võimalikke täiendavaid ohustatud varasid. Clam AntiVirus Signatures (või ClamAV) on platvormideülene pahavaratõrje tööriistakomplekt, mis suudab tuvastada mitmesuguseid pahavara ja viirusi.

"Ohutegijad kasutavad sihtmärkide ohustamiseks tavaliselt sotsiaalse inseneri tehnikaid ja hoolimata selliste rünnakute sagedusest seisavad organisatsioonid jätkuvalt silmitsi väljakutsetega nende ohtude leevendamiseks. Kasutajate harimine on selliste rünnakute tõkestamisel ülimalt oluline, sealhulgas tagamine, et töötajad teavad seaduslikke viise, kuidas tugipersonal kasutajatega ühendust võtab, et töötajad saaksid tuvastada petturlikud katsed saada tundlikku teavet,“ kirjutas Cisco Talos.