غول شبکه می گوید مهاجمان از طریق یک حساب Google در معرض خطر به مشتری VPN کارمند دسترسی اولیه پیدا کردند.
سیسکو سیستمز جزئیات هک ماه می توسط گروه باج افزار Yanluowang را فاش کرد که از حساب Google یک کارمند به خطر افتاده استفاده کرد.
غول شبکه این حمله را "مصالحه بالقوه" می نامد در پست چهارشنبه توسط بازوی تحقیقاتی تهدیدات Cisco Talos خود این شرکت.
سیسکو تالوس در توضیح طولانی این حمله نوشت: «در طول تحقیقات، مشخص شد که اعتبار یک کارمند سیسکو پس از اینکه یک مهاجم کنترل یک حساب شخصی Google را که در آن اطلاعات ذخیره شده در مرورگر قربانی همگامسازی میشد، به دست آورد، به خطر افتاد.
جزئیات پزشکی قانونی این حمله باعث شد که محققان Cisco Talos این حمله را به گروه تهدید Yanluowang نسبت دهند که به گفته آنها با UNC2447 و سایبرگنگ های بدنام Lapsus$ ارتباط دارد.
در نهایت، سیسکو تالوس گفت که دشمنان در استقرار بدافزار باجافزار موفق نبودند، اما در نفوذ به شبکه آن و استقرار کادری از ابزارهای هک تهاجمی و انجام شناسایی شبکههای داخلی «که معمولاً منجر به استقرار باجافزار در محیطهای قربانی میشود» موفق بودند.
پیشی گرفتن از MFA برای دسترسی به VPN
نکته اصلی این هک، توانایی مهاجمان برای به خطر انداختن ابزار Cisco VPN کارمند مورد نظر و دسترسی به شبکه شرکتی با استفاده از آن نرم افزار VPN بود.
“دسترسی اولیه به Cisco VPN از طریق به خطر افتادن موفقیت آمیز حساب Google شخصی یک کارمند Cisco به دست آمد. کاربر همگام سازی رمز عبور از طریق Google Chrome را فعال کرده بود و اعتبار سیسکو خود را در مرورگر خود ذخیره کرده بود و این امکان را برای همگام سازی اطلاعات با حساب Google خود فراهم می کرد.
مهاجمان با داشتن اعتبارنامههایی که در اختیار داشتند، سپس از تکنیکهای زیادی برای دور زدن احراز هویت چند عاملی مرتبط با مشتری VPN استفاده کردند. تلاشها شامل فیشینگ صوتی و نوعی حمله به نام خستگی MFA بود. Cisco Talos تکنیک حمله خستگی MFA را اینگونه توصیف میکند: «فرایند ارسال حجم بالایی از درخواستهای فشار به دستگاه تلفن همراه هدف تا زمانی که کاربر بپذیرد، تصادفاً یا صرفاً برای خاموش کردن اعلانهای فشار مکرر که دریافت میکنند».
La جعل وزارت خارجه حملات اهرمی علیه کارمند سیسکو در نهایت با موفقیت انجام شد و به مهاجمان اجازه داد تا نرم افزار VPN را به عنوان کارمند مورد نظر سیسکو اجرا کنند. محققان نوشتند: «هنگامی که مهاجم به دسترسی اولیه دست یافت، مجموعهای از دستگاههای جدید را برای MFA ثبت نام کرد و با موفقیت در Cisco VPN تأیید شد.
آنها گفتند: «مهاجم سپس به امتیازات اداری افزایش یافت و به آنها اجازه داد به سیستمهای متعددی وارد شوند، که به تیم پاسخگویی به حوادث امنیتی سیسکو (CSIRT) هشدار داد، که متعاقباً به این حادثه پاسخ دادند.
ابزارهای مورد استفاده مهاجمان شامل LogMeIn و TeamViewer و همچنین ابزارهای امنیتی تهاجمی مانند Cobalt Strike، PowerSploit، Mimikatz و Impacket بود.
در حالی که MFA یک موقعیت امنیتی ضروری برای سازمان ها در نظر گرفته می شود، اما به دور از هک بودن است. ماه گذشته، محققان مایکروسافت کشف کردند عظیم فیشینگ کمپینی که حتی اگر کاربر احراز هویت چند عاملی (MFA) را فعال کرده باشد و تا کنون تلاش کرده است بیش از 10,000 سازمان را در معرض خطر قرار دهد، می تواند اعتبارنامه ها را بدزدد.
Cisco پاسخ حادثه خود را برجسته می کند
طبق گزارش Cisco Talos، در پاسخ به این حمله، سیسکو بلافاصله پسوردی را برای کل شرکت بازنشانی کرد.
آنها نوشتند: «یافتههای ما و محافظتهای امنیتی بعدی ناشی از آن تعاملهای مشتری به ما کمک کرد پیشرفت مهاجم را کند کرده و مهار کنیم.
شرکت سپس دو امضای ضد ویروس Clam (Win.Exploit.Kolobko-9950675-0 و Win.Backdoor.Kolobko-9950676-0) را به عنوان یک اقدام احتیاطی برای ضدعفونی کردن هر گونه دارایی احتمالی در معرض خطر ایجاد کرد. Clam AntiVirus Signatures (یا ClamAV) یک جعبه ابزار ضد بدافزار چند پلتفرمی است که قادر به شناسایی انواع بدافزارها و ویروس ها است.
عاملان تهدید معمولاً از تکنیکهای مهندسی اجتماعی برای به خطر انداختن اهداف استفاده میکنند و علیرغم فراوانی چنین حملاتی، سازمانها همچنان با چالشهایی برای کاهش این تهدیدها مواجه هستند. Cisco Talos نوشت، آموزش کاربران در خنثی کردن چنین حملاتی بسیار مهم است، از جمله اطمینان از اینکه کارمندان از راههای قانونی تماس پرسنل پشتیبانی با کاربران اطلاع دارند تا کارمندان بتوانند تلاشهای متقلبانه برای به دست آوردن اطلاعات حساس را شناسایی کنند.