ענקית הרשת אומרת שתוקפים קיבלו גישה ראשונית ללקוח ה-VPN של עובד באמצעות חשבון Google שנפגע.
סיסקו סיסטמס חשפה פרטים על פריצה של מאי על ידי קבוצת Yanluowang כופר, אשר מינפה את חשבון גוגל של עובד שנפגע.
ענקית הרשת מכנה את המתקפה "פשרה פוטנציאלית" בפוסט של יום רביעי על ידי זרוע מחקר האיומים של Cisco Talos של החברה.
"במהלך החקירה, נקבע כי אישורי עובד סיסקו נפגעו לאחר שתוקף השיג שליטה בחשבון גוגל אישי שבו אישורים שנשמרו בדפדפן של הקורבן סונכרנו", כתב סיסקו טאלוס בפירוט ארוך של המתקפה.
פרטים פורנזיים של המתקפה מובילים את חוקרי סיסקו טאלוס לייחס את המתקפה לקבוצת האיומים Yanluowang, שלטענתם יש קשרים הן עם UNC2447 והן עם כנופיות הסייבר הידועים לשמצה של Lapsus$.
בסופו של דבר, סיסקו טאלוס אמרה שהיריבים לא הצליחו בפריסת תוכנות כופר, אולם הצליחו לחדור לרשת שלה ולשתול צוות של כלי פריצה פוגעניים ועריכת סיור רשת פנימי "שנצפה בדרך כלל לקראת פריסת תוכנות כופר בסביבות קורבנות".
MFA מתחכם לגישה ל-VPN
עיקר הפריצה היה היכולת של התוקפים לסכן את כלי השירות של Cisco VPN של העובד הממוקד ולגשת לרשת הארגונית באמצעות תוכנת VPN זו.
"גישה ראשונית ל-Cisco VPN הושגה באמצעות פשרה מוצלחת של חשבון Google האישי של עובד סיסקו. המשתמש איפשר סנכרון סיסמאות באמצעות Google Chrome ואחסן את האישורים של סיסקו בדפדפן שלו, מה שאפשר לסנכרן את המידע הזה עם חשבון Google שלו", כתב Cisco Talos.
עם אישורים ברשותם, התוקפים השתמשו אז במגוון טכניקות כדי לעקוף את האימות הרב-גורמי הקשור ללקוח ה-VPN. המאמצים כללו דיוג קולי וסוג של התקפה בשם MFA Faigue. Cisco Talos מתארת את טכניקת התקפת העייפות של MFA כ"תהליך של שליחת נפח גבוה של בקשות דחיפה למכשיר הנייד של המטרה עד שהמשתמש מקבל, בטעות או פשוט כדי לנסות להשתיק את הודעות הדחיפה החוזרות ונשנות שהוא מקבל".
השמיים זיוף MFA התקפות שהופעלו נגד עובד סיסקו היו בסופו של דבר בהצלחה ואיפשרו לתוקפים להפעיל את תוכנת ה-VPN כעובד סיסקו הממוקד. "לאחר שהתוקף השיג גישה ראשונית, הם רשמו סדרה של מכשירים חדשים ל-MFA ואומתו בהצלחה ל-Cisco VPN", כתבו החוקרים.
"לאחר מכן התוקף עלה להרשאות ניהול, ואיפשר להם להתחבר למספר מערכות, מה שהתריע על צוות התגובה לאירועי אבטחה של סיסקו (CSIRT), שהגיב לאחר מכן לאירוע", אמרו.
הכלים שבהם השתמשו התוקפים כללו את LogMeIn ו-TeamViewer וגם כלי אבטחה פוגעניים כמו Cobalt Strike, PowerSploit, Mimikatz ו-Impacket.
בעוד ש-MFA נחשבת לתנוחת אבטחה חיונית לארגונים, היא רחוקה מלהיות חסינת פריצה. חודש שעבר, חוקרי מיקרוסופט חשפו עצום דיוג מסע פרסום שיכול לגנוב אישורים גם אם למשתמש מופעל אימות רב-גורמי (MFA) והוא ניסה עד כה לסכן יותר מ-10,000 ארגונים.
סיסקו מדגישה את תגובת התקריות שלה
בתגובה למתקפה, סיסקו הטמיעה איפוס סיסמה כלל החברה באופן מיידי, על פי דו"ח סיסקו טאלוס.
"הממצאים שלנו והגנות האבטחה הבאות שנבעו מאותן התקשרויות עם לקוחות עזרו לנו להאט ולהכיל את התקדמות התוקף", הם כתבו.
לאחר מכן, החברה יצרה שתי חתימות Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 ו-Win.Backdoor.Kolobko-9950676-0) כאמצעי זהירות כדי לחטא כל נכס נוסף אפשרי שנפרץ. Clam AntiVirus Signatures (או ClamAV) היא ערכת כלים נגד תוכנות זדוניות חוצת פלטפורמות המסוגלת לזהות מגוון תוכנות זדוניות ווירוסים.
"שחקני איומים משתמשים בדרך כלל בטכניקות הנדסה חברתית כדי להתפשר על מטרות, ולמרות תדירות התקפות כאלה, ארגונים ממשיכים להתמודד עם אתגרים המפחיתים את האיומים הללו. חינוך משתמשים הוא ערך עליון בסיכול התקפות כאלה, כולל לוודא שהעובדים יודעים את הדרכים הלגיטימיות שבהן אנשי תמיכה יפנו למשתמשים כדי שהעובדים יוכלו לזהות ניסיונות הונאה להשיג מידע רגיש", כתבה סיסקו טאלוס.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://threatpost.com/cisco-network-breach-google/180385/
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 000
- 10
- 50
- 700
- a
- יכולת
- יכול
- מקבל
- גישה
- פי
- חֶשְׁבּוֹן
- הושג
- שחקנים
- נוסף
- מנהלי
- לאחר
- נגד
- מותר
- מאפשר
- גם
- an
- ו
- אנטי וירוס
- כל
- ARE
- זרוע
- AS
- נכסים
- At
- לתקוף
- המתקפות
- ניסיון
- ניסיתי
- ניסיונות
- מאומת
- אימות
- דלת אחורית
- להיות
- שניהם
- הפרה
- התמוטטות
- דפדפן
- by
- נקרא
- קוראים
- מבצע
- CAN
- האתגרים
- Chrome
- סיסקו
- לקוחות
- בדרך כלל
- חברה
- של החברה
- פשרה
- התפשר
- מוליך
- נחשב
- צור קשר
- להכיל
- להמשיך
- לִשְׁלוֹט
- משותף
- נוצר
- אישורים
- בין פלטפורמה
- עִקָר
- לקוח
- פריסה
- פריסה
- למרות
- פרטים
- לאתר
- נחוש
- מכשיר
- התקנים
- לחטא
- חינוך
- מַאֲמָצִים
- או
- עובד
- עובדים
- מופעל
- מה שמאפשר
- התקשרויות
- הנדסה
- נרשמים
- סביבות
- חיוני
- אֲפִילוּ
- לנצל
- פָּנִים
- רחוק
- עייפות
- ממצאים
- בעד
- רמאי
- תדר
- החל מ-
- צבר
- ענק
- Google Chrome
- קְבוּצָה
- לפרוץ
- פרוצים
- פריצה
- היה
- עזר
- גָבוֹהַ
- פסים
- אולם
- HTML
- HTTPS
- לזהות
- if
- מיד
- יושם
- in
- תקרית
- תגובה לאירוע
- כלול
- כולל
- מידע
- INFOSEC
- בתחילה
- פנימי
- חקירה
- IT
- שֶׁלָה
- לדעת
- אחרון
- עוֹפֶרֶת
- מוביל
- לגיטימי
- ממונפות
- התחבר
- LogMeIn
- לתחזק
- עשייה
- תוכנות זדוניות
- max-width
- מאי..
- משרד חוץ
- מקלה
- סלולרי
- מכשיר נייד
- חוֹדֶשׁ
- יותר
- אימות רב גורמים
- אימות רב-פקטורי
- מספר
- המון
- רשת
- רשתות
- חדש
- ניוזלטר
- הודעות
- יָדוּעַ לְשִׁמצָה
- שנצפה
- להשיג
- מושג
- of
- מתקפה
- or
- ארגונים
- שלנו
- סקירה
- שֶׁלוֹ
- הגדול ביותר
- סיסמה
- איפוס סיסמא
- אישי
- כוח אדם
- דיוג
- שתילה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- רְשׁוּת
- אפשרי
- הרשאות
- תהליך
- התקדמות
- דחוף
- ransomware
- קבלה
- חזר
- לדווח
- בקשות
- מחקר
- חוקרים
- תגובה
- וכתוצאה מכך
- גילה
- הפעלה
- אמר
- הציל
- אומר
- אבטחה
- כלי אבטחה
- שליחה
- רגיש
- סדרה
- חתימות
- שתיקה
- בפשטות
- להאט
- So
- עד כה
- חֶברָתִי
- הנדסה חברתית
- תוכנה
- מאוחסן
- להכות
- לאחר מכן
- כתוצאה מכך
- מוצלח
- בהצלחה
- כזה
- תמיכה
- בטוח
- מערכות
- טאלוס
- ממוקד
- מטרות
- נבחרת
- טכניקה
- טכניקות
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- אז
- הֵם
- אלה
- איום
- איומים
- קָשׁוּר
- קשרים
- ל
- ארגז כלים
- כלים
- שתיים
- סוג
- בסופו של דבר
- עד
- us
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- באמצעות
- תועלת
- מגוון
- באמצעות
- קרבן
- וירוסים
- קול
- כֶּרֶך
- VPN
- היה
- דרכים
- יום רביעי
- היו
- אשר
- מי
- יצטרך
- לנצח
- כתב
- זפירנט