Verkkojätti sanoo, että hyökkääjät pääsivät ensimmäisen kerran työntekijän VPN-asiakkaaseen vaarantuneen Google-tilin kautta.
Cisco Systems paljasti yksityiskohdat Yanluowang ransomware -ryhmän toukokuussa tekemästä hakkeroinnista, joka hyödynsi vaarantuneen työntekijän Google-tiliä.
Verkkojättiläinen kutsuu hyökkäystä "mahdolliseksi kompromissiksi" keskiviikon postauksessa yhtiön oma Cisco Talos -uhkatutkimusosasto.
"Tutkinnan aikana todettiin, että Ciscon työntekijän tunnistetiedot vaarantuivat sen jälkeen, kun hyökkääjä sai hallintaansa henkilökohtaisen Google-tilin, jolla uhrin selaimeen tallennettuja tunnistetietoja synkronoitiin", Cisco Talos kirjoitti pitkässä hyökkäyksen erittelyssä.
Hyökkäyksen oikeuslääketieteen yksityiskohdat saivat Cisco Talosin tutkijat katsomaan, että hyökkäys johtuu Yanluowang-uhkaryhmästä, jolla on heidän mukaansa yhteyksiä sekä UNC2447:ään että pahamaineisiin Lapsus$-kybergangeihin.
Lopulta Cisco Talos sanoi, että vastustajat eivät onnistuneet ottamaan käyttöön kiristyshaittaohjelmia, mutta onnistuivat kuitenkin tunkeutumaan sen verkkoon ja istuttamaan joukko hyökkääviä hakkerointityökaluja ja suorittamaan sisäisen verkon tiedustelua, joka "yleisesti havaittiin johtaen kiristysohjelmien käyttöönottoon uhriympäristöissä".
Älykäs MFA VPN-käyttöä varten
Hakkeroinnin ydin oli hyökkääjien kyky vaarantaa kohteena olevan työntekijän Cisco VPN -apuohjelma ja päästä yrityksen verkkoon VPN-ohjelmiston avulla.
”Alkuperäinen pääsy Ciscon VPN:ään saavutettiin onnistuneella Ciscon työntekijän henkilökohtaisen Google-tilin kompromissilla. Käyttäjä oli ottanut käyttöön salasanan synkronoinnin Google Chromen kautta ja tallentanut Cisco-tunnistetietonsa selaimeensa, mikä mahdollistaa tietojen synkronoinnin Google-tililleen", Cisco Talos kirjoitti.
Tunnustiedoillaan hyökkääjät käyttivät sitten monia tekniikoita ohittaakseen VPN-asiakkaaseen sidotun monitekijätodennuksen. Ponnisteluihin sisältyi äänen tietojenkalastelu ja eräänlainen hyökkäys, jota kutsutaan MFA-väsymykseksi. Cisco Talos kuvailee MFA-väsymishyökkäystekniikkaa "prosessiksi, jossa lähetetään suuri määrä push-pyyntöjä kohteen mobiililaitteeseen, kunnes käyttäjä hyväksyy sen, joko vahingossa tai yksinkertaisesti yrittääkseen hiljentää vastaanottamansa toistuvat push-ilmoitukset."
- MFA huijaus Ciscon työntekijää vastaan tehdyt hyökkäykset onnistuivat lopulta ja antoivat hyökkääjille mahdollisuuden käyttää VPN-ohjelmistoa kohteena olevana Ciscon työntekijänä. "Kun hyökkääjä oli saanut alustavan käyttöoikeuden, hän rekisteröi joukon uusia laitteita MFA:ta varten ja tunnistettiin onnistuneesti Cisco VPN:ään", tutkijat kirjoittivat.
"Hyökkääjä laajeni sitten järjestelmänvalvojan oikeuksiin, mikä antoi heille mahdollisuuden kirjautua useisiin järjestelmiin, mikä hälytti Cisco Security Incident Response Teamin (CSIRT), joka myöhemmin vastasi tapaukseen", he sanoivat.
Hyökkääjien käyttämiä työkaluja olivat LogMeIn ja TeamViewer sekä hyökkäävät tietoturvatyökalut, kuten Cobalt Strike, PowerSploit, Mimikatz ja Impacket.
Vaikka MFA:ta pidetään välttämättömänä tietoturva-asetelmana organisaatioille, se ei ole kaukana hakkeroinnista. Viime kuukausi, Microsoftin tutkijat paljastivat massiivinen Phishing kampanja, joka voi varastaa tunnistetiedot, vaikka käyttäjällä olisi käytössä monitekijätodennus (MFA) ja hän on tähän mennessä yrittänyt vaarantaa yli 10,000 XNUMX organisaatiota.
Cisco korostaa reagointiaan tapauksiin
Cisco Talosin raportin mukaan vastauksena hyökkäykseen Cisco toteutti välittömästi yrityksen laajuisen salasanan nollauksen.
"Havaintomme ja myöhemmät asiakassitoumuksista johtuvat suojaukset auttoivat meitä hidastamaan ja hillitsemään hyökkääjän etenemistä", he kirjoittivat.
Tämän jälkeen yritys loi kaksi Clam AntiVirus -allekirjoitusta (Win.Exploit.Kolobko-9950675-0 ja Win.Backdoor.Kolobko-9950676-0) varotoimenpiteenä mahdollisen ylimääräisen vaarantuneen omaisuuden desinfioimiseksi. Clam AntiVirus Signatures (tai ClamAV) on monialustainen haittaohjelmien torjuntatyökalusarja, joka pystyy havaitsemaan erilaisia haittaohjelmia ja viruksia.
"Uhkatoimijat käyttävät yleisesti sosiaalisen suunnittelun tekniikoita vaarantaakseen kohteet, ja tällaisten hyökkäysten tiheydestä huolimatta organisaatiot kohtaavat edelleen haasteita näiden uhkien lieventämisessä. Käyttäjien koulutus on ensiarvoisen tärkeää tällaisten hyökkäysten estämisessä, mukaan lukien sen varmistaminen, että työntekijät tietävät lailliset tavat, joilla tukihenkilöstö ottaa yhteyttä käyttäjiin, jotta työntekijät voivat tunnistaa vilpilliset yritykset saada arkaluonteisia tietoja", Cisco Talos kirjoitti.
- blockchain
- rikkominen
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- hakata
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
