Le géant des réseaux affirme que les attaquants ont obtenu un accès initial au client VPN d'un employé via un compte Google compromis.
Cisco Systems a révélé les détails d'un piratage en mai par le groupe de rançongiciels Yanluowang qui a exploité le compte Google d'un employé compromis.
Le géant des réseaux qualifie l'attaque de "compromis potentiel" dans un article du mercredi par la propre branche de recherche sur les menaces Cisco Talos de la société.
"Au cours de l'enquête, il a été déterminé que les informations d'identification d'un employé de Cisco ont été compromises après qu'un attaquant a pris le contrôle d'un compte Google personnel où les informations d'identification enregistrées dans le navigateur de la victime étaient synchronisées", a écrit Cisco Talos dans une longue description de l'attaque.
Les détails médico-légaux de l'attaque ont conduit les chercheurs de Cisco Talos à attribuer l'attaque au groupe de menaces Yanluowang, qui, selon eux, a des liens à la fois avec l'UNC2447 et les notoires cybergangs Lapsus$.
En fin de compte, Cisco Talos a déclaré que les adversaires n'avaient pas réussi à déployer des rançongiciels malveillants, mais qu'ils avaient réussi à pénétrer son réseau et à implanter un cadre d'outils de piratage offensifs et à effectuer une reconnaissance du réseau interne "généralement observée avant le déploiement de rançongiciels dans les environnements des victimes".
Déjouer MFA pour l'accès VPN
Le cœur du piratage était la capacité des attaquants à compromettre l'utilitaire Cisco VPN de l'employé ciblé et à accéder au réseau de l'entreprise à l'aide de ce logiciel VPN.
« L'accès initial au VPN Cisco a été obtenu grâce à la compromission réussie du compte Google personnel d'un employé de Cisco. L'utilisateur avait activé la synchronisation du mot de passe via Google Chrome et avait stocké ses informations d'identification Cisco dans son navigateur, permettant à ces informations de se synchroniser avec son compte Google », a écrit Cisco Talos.
Avec les informations d'identification en leur possession, les attaquants ont alors utilisé une multitude de techniques pour contourner l'authentification multifacteur liée au client VPN. Les efforts comprenaient le phishing vocal et un type d'attaque appelé fatigue MFA. Cisco Talos décrit la technique d'attaque par fatigue MFA comme "le processus d'envoi d'un volume élevé de demandes push à l'appareil mobile de la cible jusqu'à ce que l'utilisateur accepte, accidentellement ou simplement pour tenter de faire taire les notifications push répétées qu'il reçoit".
Les Usurpation MFA les attaques contre les employés de Cisco ont finalement réussi et ont permis aux attaquants d'exécuter le logiciel VPN en tant qu'employé de Cisco ciblé. "Une fois que l'attaquant a obtenu l'accès initial, il a inscrit une série de nouveaux appareils pour MFA et s'est authentifié avec succès auprès du VPN Cisco", ont écrit les chercheurs.
"L'attaquant est ensuite passé aux privilèges administratifs, lui permettant de se connecter à plusieurs systèmes, ce qui a alerté notre équipe de réponse aux incidents de sécurité Cisco (CSIRT), qui a ensuite répondu à l'incident", ont-ils déclaré.
Les outils utilisés par les attaquants comprenaient LogMeIn et TeamViewer ainsi que des outils de sécurité offensifs tels que Cobalt Strike, PowerSploit, Mimikatz et Impacket.
Bien que la MFA soit considérée comme une posture de sécurité essentielle pour les organisations, elle est loin d'être à l'épreuve du piratage. Le mois dernier, Des chercheurs de Microsoft découverts un énorme phishing campagne qui peut voler des informations d'identification même si un utilisateur a activé l'authentification multifacteur (MFA) et a jusqu'à présent tenté de compromettre plus de 10,000 XNUMX organisations.
Cisco met en avant sa réponse aux incidents
En réponse à l'attaque, Cisco a immédiatement mis en place une réinitialisation du mot de passe à l'échelle de l'entreprise, selon le rapport de Cisco Talos.
"Nos découvertes et les protections de sécurité ultérieures résultant de ces engagements clients nous ont aidés à ralentir et à contenir la progression de l'attaquant", ont-ils écrit.
La société a ensuite créé deux signatures Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 et Win.Backdoor.Kolobko-9950676-0) par mesure de précaution pour désinfecter d'éventuels actifs supplémentaires compromis. Clam AntiVirus Signatures (ou ClamAV) est une boîte à outils antimalware multiplateforme capable de détecter une variété de malwares et de virus.
"Les acteurs de la menace utilisent couramment des techniques d'ingénierie sociale pour compromettre leurs cibles, et malgré la fréquence de ces attaques, les organisations continuent de faire face à des défis pour atténuer ces menaces. L'éducation des utilisateurs est primordiale pour contrecarrer de telles attaques, notamment en s'assurant que les employés connaissent les moyens légitimes par lesquels le personnel d'assistance contactera les utilisateurs afin qu'ils puissent identifier les tentatives frauduleuses d'obtention d'informations sensibles », a écrit Cisco Talos.
- blockchain
- violation
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- hacks
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
- zéphyrnet
