네트워킹 거인은 공격자가 손상된 Google 계정을 통해 직원의 VPN 클라이언트에 대한 초기 액세스 권한을 얻었다고 말했습니다.
Cisco Systems는 손상된 직원의 Google 계정을 활용한 Yanluowang 랜섬웨어 그룹의 XNUMX월 해킹에 대한 세부 정보를 공개했습니다.
네트워킹 대기업은 공격을 "잠재적 타협"이라고 부릅니다. 수요일 포스트에서 회사 자체의 Cisco Talos 위협 연구 부서에서
Cisco Talos는 공격에 대한 자세한 설명에서 "조사 중에 공격자가 피해자의 브라우저에 저장된 자격 증명이 동기화되는 개인 Google 계정의 제어 권한을 얻은 후 Cisco 직원의 자격 증명이 손상된 것으로 확인되었습니다."라고 썼습니다.
공격에 대한 포렌식 세부 정보에 따르면 Cisco Talos 연구원은 이 공격이 Yanluowang 위협 그룹에 의한 것으로 보고 있으며, 이 그룹이 UNC2447 및 악명 높은 Lapsus$ 사이버 갱과 관련이 있다고 주장합니다.
궁극적으로 Cisco Talos는 공격자들이 랜섬웨어 맬웨어를 배포하는 데 성공하지 못했지만 네트워크에 침투하여 공격적인 해킹 도구를 심고 내부 네트워크 정찰을 수행하는 데는 성공했다고 말했습니다.
VPN 액세스를 위한 MFA 능가
해킹의 핵심은 공격자가 대상 직원의 Cisco VPN 유틸리티를 손상시키고 해당 VPN 소프트웨어를 사용하여 회사 네트워크에 액세스할 수 있다는 것입니다.
“Cisco VPN에 대한 초기 액세스는 Cisco 직원의 개인 Google 계정이 성공적으로 손상되어 이루어졌습니다. 사용자는 Google 크롬을 통해 암호 동기화를 활성화하고 브라우저에 Cisco 자격 증명을 저장하여 해당 정보를 Google 계정과 동기화할 수 있도록 했습니다.”라고 Cisco Talos가 썼습니다.
자격 증명을 소유한 공격자는 VPN 클라이언트에 연결된 다단계 인증을 우회하기 위해 다양한 기술을 사용했습니다. 노력에는 보이스 피싱과 MFA 피로라는 공격 유형이 포함되었습니다. Cisco Talos는 MFA 피로 공격 기술을 "우발적으로 또는 단순히 수신하고 있는 반복되는 푸시 알림을 묵음 처리하기 위해 사용자가 수락할 때까지 대상의 모바일 장치에 많은 양의 푸시 요청을 보내는 프로세스"라고 설명합니다.
XNUMXD덴탈의 MFA 스푸핑 Cisco 직원에 대한 공격은 궁극적으로 성공적이었으며 공격자는 Cisco 직원을 대상으로 VPN 소프트웨어를 실행할 수 있었습니다. 연구원들은 "공격자가 초기 액세스 권한을 얻은 후 MFA를 위해 일련의 새로운 장치를 등록하고 Cisco VPN에 성공적으로 인증했습니다."라고 밝혔습니다.
"그런 다음 공격자는 관리자 권한으로 승격하여 여러 시스템에 로그인할 수 있도록 허용했습니다. 이후 사건에 대응한 Cisco CSIRT(Security Incident Response Team)에 알렸습니다."라고 그들은 말했습니다.
공격자가 사용하는 도구에는 LogMeIn 및 TeamViewer와 Cobalt Strike, PowerSploit, Mimikatz 및 Impacket과 같은 공격적인 보안 도구가 포함됩니다.
MFA는 조직의 필수 보안 태세로 간주되지만 해킹 방지와는 거리가 멉니다. 지난 달, 마이크로소프트 연구원들이 밝혀낸 것 거대한 피싱 사용자가 MFA(다단계 인증)를 사용하도록 설정하고 지금까지 10,000개 이상의 조직을 손상시키려고 시도한 경우에도 자격 증명을 도용할 수 있는 캠페인입니다.
Cisco의 사건 대응 강조
Cisco Talos 보고서에 따르면 공격에 대응하여 Cisco는 즉시 전사적 암호 재설정을 구현했습니다.
"고객 참여로 인한 우리의 발견 및 후속 보안 보호는 우리가 공격자의 진행을 늦추고 억제하는 데 도움이 되었습니다."라고 그들은 썼습니다.
그런 다음 회사는 가능한 추가 손상 자산을 치료하기 위한 예방책으로 두 개의 Clam AntiVirus 시그니처(Win.Exploit.Kolobko-9950675-0 및 Win.Backdoor.Kolobko-9950676-0)를 생성했습니다. Clam AntiVirus Signatures(또는 ClamAV)는 다양한 맬웨어 및 바이러스를 탐지할 수 있는 크로스 플랫폼 맬웨어 방지 도구 키트입니다.
“공격자는 일반적으로 사회 공학 기술을 사용하여 대상을 침해하며 이러한 공격의 빈도에도 불구하고 조직은 이러한 위협을 완화하는 데 계속 어려움을 겪고 있습니다. Cisco Talos는 직원들이 지원 담당자가 사용자에게 연락하는 합법적인 방법을 알려줌으로써 직원들이 민감한 정보를 얻으려는 사기 시도를 식별할 수 있도록 하는 등 이러한 공격을 저지하는 데 있어 사용자 교육이 가장 중요하다고 밝혔습니다.
