Netwerkgigant zegt dat aanvallers de eerste toegang hebben gekregen tot de VPN-client van een werknemer via een gecompromitteerd Google-account.
Cisco Systems heeft details onthuld van een hack in mei door de Yanluowang ransomware-groep die gebruikmaakte van het Google-account van een gecompromitteerde werknemer.
De netwerkgigant noemt de aanval een "potentieel compromis" in een bericht van woensdag door de eigen Cisco Talos-onderzoeksafdeling voor bedreigingen.
"Tijdens het onderzoek werd vastgesteld dat de inloggegevens van een Cisco-medewerker waren gecompromitteerd nadat een aanvaller de controle had gekregen over een persoonlijk Google-account waar de inloggegevens die in de browser van het slachtoffer waren opgeslagen, werden gesynchroniseerd", schreef Cisco Talos in een uitgebreid overzicht van de aanval.
Forensische details van de aanval leiden ertoe dat Cisco Talos-onderzoekers de aanval toeschrijven aan de Yanluowang-bedreigingsgroep, die volgens hen banden heeft met zowel de UNC2447 als de beruchte Lapsus$ cyberbendes.
Uiteindelijk zei Cisco Talos dat de tegenstanders niet succesvol waren in het inzetten van ransomware-malware, maar wel in het binnendringen van het netwerk en het plaatsen van een reeks aanstootgevende hacktools en het uitvoeren van interne netwerkverkenningen die "vaak worden waargenomen in de aanloop naar de inzet van ransomware in slachtofferomgevingen."
MFA te slim af voor VPN-toegang
De kern van de hack was het vermogen van de aanvallers om het Cisco VPN-hulpprogramma van de beoogde werknemer te compromitteren en toegang te krijgen tot het bedrijfsnetwerk met behulp van die VPN-software.
“De eerste toegang tot de Cisco VPN werd bereikt via de succesvolle inbreuk op het persoonlijke Google-account van een Cisco-medewerker. De gebruiker had wachtwoordsynchronisatie via Google Chrome ingeschakeld en had zijn Cisco-inloggegevens in zijn browser opgeslagen, waardoor die informatie kon worden gesynchroniseerd met zijn Google-account”, schreef Cisco Talos.
Met inloggegevens in hun bezit gebruikten aanvallers vervolgens een groot aantal technieken om de multifactor-authenticatie te omzeilen die aan de VPN-client is gekoppeld. De inspanningen omvatten voice phishing en een type aanval genaamd MFA-moeheid. Cisco Talos beschrijft de MFA-vermoeidheidsaanvaltechniek als "het proces van het verzenden van een groot aantal push-verzoeken naar het mobiele apparaat van het doelwit totdat de gebruiker het accepteert, hetzij per ongeluk, hetzij simpelweg om te proberen de herhaalde pushmeldingen die ze ontvangen te dempen."
De MFA-spoofing aanvallen tegen Cisco-medewerkers waren uiteindelijk succesvol en stelden de aanvallers in staat de VPN-software uit te voeren als de beoogde Cisco-medewerker. "Zodra de aanvaller de eerste toegang had verkregen, hebben ze een reeks nieuwe apparaten ingeschreven voor MFA en met succes geverifieerd bij de Cisco VPN", schreven onderzoekers.
"De aanvaller escaleerde vervolgens naar beheerdersrechten, waardoor ze konden inloggen op meerdere systemen, wat ons Cisco Security Incident Response Team (CSIRT) alarmeerde, dat vervolgens op het incident reageerde", zeiden ze.
Tools die door aanvallers werden gebruikt, waren onder meer LogMeIn en TeamViewer en ook offensieve beveiligingstools zoals Cobalt Strike, PowerSploit, Mimikatz en Impacket.
Hoewel MFA wordt beschouwd als een essentiële beveiligingshouding voor organisaties, is het verre van hackbestendig. Vorige maand, Microsoft-onderzoekers ontdekt een enorme Phishing campagne die inloggegevens kan stelen, zelfs als een gebruiker multi-factor authenticatie (MFA) heeft ingeschakeld en tot nu toe heeft geprobeerd meer dan 10,000 organisaties binnen te dringen.
Cisco benadrukt zijn reactie op incidenten
Als reactie op de aanval heeft Cisco onmiddellijk een bedrijfsbrede wachtwoordreset doorgevoerd, volgens het Cisco Talos-rapport.
"Onze bevindingen en de daaropvolgende beveiligingsmaatregelen als gevolg van die klantbetrokkenheid hebben ons geholpen de voortgang van de aanvaller te vertragen en in te dammen", schreven ze.
Het bedrijf creëerde vervolgens twee Clam AntiVirus-handtekeningen (Win.Exploit.Kolobko-9950675-0 en Win.Backdoor.Kolobko-9950676-0) als voorzorgsmaatregel om eventuele aanvullende gecompromitteerde activa te desinfecteren. Clam AntiVirus Signatures (of ClamAV) is een platformonafhankelijke antimalware-toolkit die een verscheidenheid aan malware en virussen kan detecteren.
“Bedreigingsactoren gebruiken vaak social engineering-technieken om doelen te compromitteren, en ondanks de frequentie van dergelijke aanvallen, blijven organisaties voor uitdagingen staan om die bedreigingen te verminderen. Gebruikerseducatie is van het grootste belang bij het afwenden van dergelijke aanvallen, inclusief ervoor zorgen dat werknemers de legitieme manieren kennen waarop ondersteunend personeel contact zal opnemen met gebruikers, zodat werknemers frauduleuze pogingen om gevoelige informatie te verkrijgen kunnen identificeren”, schreef Cisco Talos.
- blockchain
- overtreding
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- hacks
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- website veiligheid
- zephyrnet
