A hálózati óriás szerint a támadók kezdetben egy feltört Google-fiókon keresztül jutottak hozzá az alkalmazott VPN-klienséhez.
A Cisco Systems felfedte a Yanluowang ransomware csoport májusi hackelésének részleteit, amely egy feltört alkalmazott Google-fiókját használta fel.
A hálózatépítő óriás „potenciális kompromisszumnak” nevezi a támadást egy szerdai bejegyzésben a cég saját Cisco Talos fenyegetéskutató részlege.
„A vizsgálat során megállapították, hogy a Cisco egyik alkalmazottjának hitelesítő adatait veszélyeztették, miután egy támadó megszerezte az irányítást egy személyes Google-fiók felett, ahol az áldozat böngészőjében mentett hitelesítő adatokat szinkronizálták” – írta a Cisco Talos a támadás hosszas lebontásában.
A támadás törvényszéki részletei alapján a Cisco Talos kutatói a támadást a Yanluowang fenyegető csoportnak tulajdonítják, amely állításuk szerint kapcsolatban áll az UNC2447-tel és a hírhedt Lapsus$ kibergangokkal.
A Cisco Talos végül azt mondta, hogy az ellenfelek nem voltak sikeresek a zsarolóvírusok rosszindulatú programjainak telepítésében, de sikeresen behatoltak a hálózatába, és támadó hackereszközöket telepítettek, valamint belső hálózatfelderítést végeztek, „amit gyakran megfigyeltek zsarolóprogramok áldozati környezetekben való telepítéséhez”.
Az MFA túlszárnyalása a VPN-hozzáféréshez
A feltörés lényege az volt, hogy a támadók képesek voltak feltörni a megcélzott alkalmazott Cisco VPN-segédprogramját, és ezzel a VPN-szoftverrel hozzáférni a vállalati hálózathoz.
„A Cisco VPN-hez való kezdeti hozzáférést egy Cisco-alkalmazott személyes Google-fiókjának sikeres kompromisszumával sikerült elérni. A felhasználó engedélyezte a jelszavak szinkronizálását a Google Chrome-on keresztül, és eltárolta a Cisco hitelesítő adatait a böngészőjében, lehetővé téve, hogy ezek az információk szinkronizálódjanak a Google-fiókjával” – írta a Cisco Talos.
A hitelesítő adatok birtokában a támadók számos technikát alkalmaztak a VPN-klienshez kötött többtényezős hitelesítés megkerülésére. Az erőfeszítések közé tartozott a hangalapú adathalászat és az MFA fáradtság nevű támadás. A Cisco Talos úgy írja le az MFA fáradtság elleni támadási technikát, mint „az a folyamat, amelynek során nagy mennyiségű push kérést küldenek a célpont mobileszközére, amíg a felhasználó el nem fogadja, véletlenül vagy egyszerűen azért, hogy megkísérelje elhallgatni a kapott ismétlődő push értesítéseket”.
A MFA hamisítás A Cisco alkalmazottja ellen alkalmazott támadások végül sikeresek voltak, és lehetővé tették a támadók számára, hogy a megcélzott Cisco-alkalmazottként futtassák a VPN-szoftvert. „Miután a támadó megszerezte a kezdeti hozzáférést, egy sor új eszközt regisztrált az MFA-hoz, és sikeresen hitelesítette a Cisco VPN-t” – írták a kutatók.
„A támadó ezután rendszergazdai jogosultságokat szerzett, lehetővé téve számukra, hogy több rendszerbe is bejelentkezzenek, ami értesítette a Cisco Security Incident Response Team (CSIRT) csoportot, amely ezt követően reagált az incidensre” – mondták.
A támadók által használt eszközök közé tartozott a LogMeIn és a TeamViewer, valamint olyan támadó biztonsági eszközök, mint a Cobalt Strike, a PowerSploit, a Mimikatz és az Impacket.
Bár az MFA-t a szervezetek alapvető biztonsági pozíciójának tekintik, távolról sem feltörésbiztos. Múlt hónap, A Microsoft kutatói felfedezték egy masszív Adathalászat olyan kampány, amely még akkor is képes ellopni a hitelesítő adatokat, ha a felhasználó engedélyezte a többtényezős hitelesítést (MFA), és eddig több mint 10,000 XNUMX szervezetet próbált meg feltörni.
A Cisco kiemeli az incidensekre adott válaszát
A Cisco Talos jelentése szerint a támadásra válaszul a Cisco azonnal végrehajtotta a vállalati szintű jelszó-visszaállítást.
„Az ügyfelek általi elköteleződésekből eredő megállapításaink és az azt követő biztonsági védelem segített lassítani és megfékezni a támadó előrehaladását” – írták.
A vállalat ezután két Clam AntiVirus aláírást hozott létre (Win.Exploit.Kolobko-9950675-0 és Win.Backdoor.Kolobko-9950676-0) az esetleges további feltört eszközök fertőtlenítése érdekében. A Clam AntiVirus Signatures (vagy ClamAV) egy többplatformos kártevőirtó eszközkészlet, amely számos rosszindulatú programot és vírust képes észlelni.
„A fenyegetés szereplői általában szociális tervezési technikákat alkalmaznak a célpontok kompromittálására, és az ilyen támadások gyakorisága ellenére a szervezetek továbbra is kihívásokkal néznek szembe a fenyegetések mérséklésével. A felhasználók oktatása a legfontosabb az ilyen támadások meghiúsításában, beleértve annak biztosítását, hogy az alkalmazottak ismerjék azokat a törvényes módokat, amelyekkel a támogató személyzet kapcsolatba lép a felhasználókkal, hogy az alkalmazottak azonosíthassák a bizalmas információk megszerzésére irányuló csalási kísérleteket” – írta a Cisco Talos.
