Cisco מאשרת פריצת רשת באמצעות חשבון Google של עובד פרוץ

חותמת זמן: 11 באוגוסט, 2022 8:51
צומת המקור: 1617202

ענקית הרשת אומרת שתוקפים קיבלו גישה ראשונית ללקוח ה-VPN של עובד באמצעות חשבון Google שנפגע.

סיסקו סיסטמס חשפה פרטים על פריצה של מאי על ידי קבוצת Yanluowang כופר, אשר מינפה את חשבון גוגל של עובד שנפגע.

ענקית הרשת מכנה את המתקפה "פשרה פוטנציאלית" בפוסט של יום רביעי על ידי זרוע מחקר האיומים של Cisco Talos של החברה.

"במהלך החקירה, נקבע כי אישורי עובד סיסקו נפגעו לאחר שתוקף השיג שליטה בחשבון גוגל אישי שבו אישורים שנשמרו בדפדפן של הקורבן סונכרנו", כתב סיסקו טאלוס בפירוט ארוך של המתקפה.

ניוזלטר אינסידרס של Infosec

פרטים פורנזיים של המתקפה מובילים את חוקרי סיסקו טאלוס לייחס את המתקפה לקבוצת האיומים Yanluowang, שלטענתם יש קשרים הן עם UNC2447 והן עם כנופיות הסייבר הידועים לשמצה של Lapsus$.

בסופו של דבר, סיסקו טאלוס אמרה שהיריבים לא הצליחו בפריסת תוכנות כופר, אולם הצליחו לחדור לרשת שלה ולשתול צוות של כלי פריצה פוגעניים ועריכת סיור רשת פנימי "שנצפה בדרך כלל לקראת פריסת תוכנות כופר בסביבות קורבנות".

MFA מתחכם לגישה ל-VPN

עיקר הפריצה היה היכולת של התוקפים לסכן את כלי השירות של Cisco VPN של העובד הממוקד ולגשת לרשת הארגונית באמצעות תוכנת VPN זו.

"גישה ראשונית ל-Cisco VPN הושגה באמצעות פשרה מוצלחת של חשבון Google האישי של עובד סיסקו. המשתמש איפשר סנכרון סיסמאות באמצעות Google Chrome ואחסן את האישורים של סיסקו בדפדפן שלו, מה שאפשר לסנכרן את המידע הזה עם חשבון Google שלו", כתב Cisco Talos.

עם אישורים ברשותם, התוקפים השתמשו אז במגוון טכניקות כדי לעקוף את האימות הרב-גורמי הקשור ללקוח ה-VPN. המאמצים כללו דיוג קולי וסוג של התקפה בשם MFA Faigue. Cisco Talos מתארת ​​את טכניקת התקפת העייפות של MFA כ"תהליך של שליחת נפח גבוה של בקשות דחיפה למכשיר הנייד של המטרה עד שהמשתמש מקבל, בטעות או פשוט כדי לנסות להשתיק את הודעות הדחיפה החוזרות ונשנות שהוא מקבל".

השמיים זיוף MFA התקפות שהופעלו נגד עובד סיסקו היו בסופו של דבר בהצלחה ואיפשרו לתוקפים להפעיל את תוכנת ה-VPN כעובד סיסקו הממוקד. "לאחר שהתוקף השיג גישה ראשונית, הם רשמו סדרה של מכשירים חדשים ל-MFA ואומתו בהצלחה ל-Cisco VPN", כתבו החוקרים.

"לאחר מכן התוקף עלה להרשאות ניהול, ואיפשר להם להתחבר למספר מערכות, מה שהתריע על צוות התגובה לאירועי אבטחה של סיסקו (CSIRT), שהגיב לאחר מכן לאירוע", אמרו.

הכלים שבהם השתמשו התוקפים כללו את LogMeIn ו-TeamViewer וגם כלי אבטחה פוגעניים כמו Cobalt Strike, PowerSploit, Mimikatz ו-Impacket.

בעוד ש-MFA נחשבת לתנוחת אבטחה חיונית לארגונים, היא רחוקה מלהיות חסינת פריצה. חודש שעבר, חוקרי מיקרוסופט חשפו עצום דיוג מסע פרסום שיכול לגנוב אישורים גם אם למשתמש מופעל אימות רב-גורמי (MFA) והוא ניסה עד כה לסכן יותר מ-10,000 ארגונים.

סיסקו מדגישה את תגובת התקריות שלה

בתגובה למתקפה, סיסקו הטמיעה איפוס סיסמה כלל החברה באופן מיידי, על פי דו"ח סיסקו טאלוס.

"הממצאים שלנו והגנות האבטחה הבאות שנבעו מאותן התקשרויות עם לקוחות עזרו לנו להאט ולהכיל את התקדמות התוקף", הם כתבו.

לאחר מכן, החברה יצרה שתי חתימות Clam AntiVirus (Win.Exploit.Kolobko-9950675-0  ו-Win.Backdoor.Kolobko-9950676-0) כאמצעי זהירות כדי לחטא כל נכס נוסף אפשרי שנפרץ. Clam AntiVirus Signatures (או ClamAV) היא ערכת כלים נגד תוכנות זדוניות חוצת פלטפורמות המסוגלת לזהות מגוון תוכנות זדוניות ווירוסים.

"שחקני איומים משתמשים בדרך כלל בטכניקות הנדסה חברתית כדי להתפשר על מטרות, ולמרות תדירות התקפות כאלה, ארגונים ממשיכים להתמודד עם אתגרים המפחיתים את האיומים הללו. חינוך משתמשים הוא ערך עליון בסיכול התקפות כאלה, כולל לוודא שהעובדים יודעים את הדרכים הלגיטימיות שבהן אנשי תמיכה יפנו למשתמשים כדי שהעובדים יוכלו לזהות ניסיונות הונאה להשיג מידע רגיש", כתבה סיסקו טאלוס.

בול זמן:

עוד מ פריצות