Cisco、ハッキングされた従業員の Google アカウントによるネットワーク侵害を確認

タイムスタンプ:11年2022月8日午前51時XNUMX分
ソースノード: 1617202

ネットワークの巨人は、攻撃者が侵害された Google アカウントを介して従業員の VPN クライアントへの最初のアクセスを取得したと述べています。

Cisco Systems は、侵害された従業員の Google アカウントを悪用した Yanluowang ランサムウェア グループによる XNUMX 月のハッキングの詳細を明らかにしました。

ネットワークの巨人は、この攻撃を「潜在的な侵害」と呼んでいます 水曜日の投稿で 同社独自の Cisco Talos 脅威研究部門によるものです。

「調査中に、被害者のブラウザに保存されたクレデンシャルが同期されていた個人の Google アカウントを攻撃者が制御した後、シスコの従業員のクレデンシャルが侵害されたことが判明しました」と Cisco Talos は攻撃の詳細な内訳の中で書いています。

InfosecInsidersニュースレター

攻撃の法医学的詳細により、Cisco Talos の研究者は、この攻撃が Yanluowang 脅威グループによるものであると結論付けました。Yanluowang は、UNC2447 と悪名高い Lapsus$ サイバーギャングの両方と関係があると彼らは主張しています。

最終的に Cisco Talos は、攻撃者はランサムウェア マルウェアの展開に成功しなかったものの、ネットワークに侵入し、攻撃的なハッキング ツールの幹部を植え付け、内部ネットワークの偵察を行うことに成功したと述べました。

VPN アクセスのための MFA の裏をかく

ハッキングの核心は、攻撃者が標的の従業員の Cisco VPN ユーティリティを侵害し、その VPN ソフトウェアを使用して企業ネットワークにアクセスできることでした。

「シスコの VPN への最初のアクセスは、シスコの従業員の個人的な Google アカウントの侵害に成功したことによって達成されました。 ユーザーは Google Chrome 経由でパスワードの同期を有​​効にし、Cisco クレデンシャルをブラウザに保存して、その情報を Google アカウントに同期できるようにしていました」と Cisco Talos は書いています。

クレデンシャルを入手した攻撃者は、多数の手法を使用して、VPN クライアントに関連付けられた多要素認証をバイパスしました。 取り組みには、ボイス フィッシングや、MFA 疲労と呼ばれるタイプの攻撃が含まれていました。 Cisco Talos は、MFA 疲労攻撃の手法を「ユーザーが受け入れるまで大量のプッシュ リクエストをターゲットのモバイル デバイスに送信するプロセス」と説明しています。これは、誤って、または単純に、繰り返し受信するプッシュ通知を黙らせようとするためです。

  MFA スプーフィング シスコの従業員に対して利用された攻撃は最終的に成功し、攻撃者は標的のシスコの従業員として VPN ソフトウェアを実行することができました。 「攻撃者は最初のアクセス権を取得すると、一連の新しいデバイスを MFA 用に登録し、Cisco VPN への認証に成功しました」と研究者は書いています。

「その後、攻撃者は管理者権限に昇格し、複数のシステムにログインできるようになりました。これにより、シスコのセキュリティ インシデント対応チーム (CSIRT) に警告が発せられ、CSIRT がその後インシデントに対応しました」と彼らは言いました。

攻撃者が使用したツールには、LogMeIn や TeamViewer のほか、Cobalt Strike、PowerSploit、Mimikatz、Impacket などの攻撃的なセキュリティ ツールが含まれていました。

MFA は組織にとって不可欠なセキュリティ体制と考えられていますが、ハッキング防止にはほど遠いものです。 先月、 マイクロソフトの研究者が明らかにした 大規模な フィッシング詐欺 ユーザーが多要素認証(MFA)を有効にしていて、これまでに10,000を超える組織を侵害しようとした場合でも、資格情報を盗むことができるキャンペーン。

シスコがインシデント対応を強調

Cisco Talos のレポートによると、攻撃に対応して、Cisco は全社的なパスワードのリセットを直ちに実施しました。

「これらの顧客エンゲージメントから得られた調査結果とその後のセキュリティ保護により、攻撃者の進行を遅らせ、封じ込めることができました」と彼らは書いています。

その後、同社は 9950675 つの Clam AntiVirus シグネチャ (Win.Exploit.Kolobko-0-9950676 と Win.Backdoor.Kolobko-0-XNUMX) を作成し、侵害された可能性のある追加の資産を駆除しました。 Clam AntiVirus Signatures (または ClamAV) は、さまざまなマルウェアやウイルスを検出できるクロスプラットフォームのマルウェア対策ツールキットです。

「攻撃者は通常、ソーシャル エンジニアリング手法を使用してターゲットを侵害します。このような攻撃が頻繁に行われているにもかかわらず、組織はこれらの脅威を軽減するという課題に直面し続けています。 このような攻撃を阻止するには、ユーザー教育が最も重要です。これには、サポート担当者がユーザーに連絡する正当な方法を従業員が確実に知って、機密情報を不正に取得しようとする試みを従業員が特定できるようにすることも含まれます」と Cisco Talos は書いています。

タイムスタンプ:

より多くの ハックス