Nettverksgiganten sier at angripere fikk første tilgang til en ansatts VPN-klient via en kompromittert Google-konto.
Cisco Systems avslørte detaljer om et mai-hack av Yanluowang løsepengevaregruppen som utnyttet en kompromittert ansatts Google-konto.
Nettverksgiganten kaller angrepet et "potensielt kompromiss" i et onsdagsinnlegg av selskapets egen Cisco Talos trusselforskningsarm.
"Under etterforskningen ble det fastslått at en Cisco-ansatts legitimasjon ble kompromittert etter at en angriper fikk kontroll over en personlig Google-konto der legitimasjonen lagret i offerets nettleser ble synkronisert," skrev Cisco Talos i en lang oversikt over angrepet.
Kriminaltekniske detaljer om angrepet får Cisco Talos-forskere til å tilskrive angrepet Yanluowang-trusselgruppen, som de fastholder har bånd til både UNC2447 og de beryktede Lapsus$-cybergjengene.
Til syvende og sist sa Cisco Talos at motstanderne ikke lyktes med å distribuere ransomware malware, men at de lykkes med å trenge inn i nettverket og plante en ramme av støtende hackingverktøy og gjennomføre intern nettverksrekognosering "som ofte ble observert før utplasseringen av løsepengevare i offermiljøer."
Overliste MFA for VPN-tilgang
Kjernen i hacket var angripernes evne til å kompromittere den målrettede ansattes Cisco VPN-verktøy og få tilgang til bedriftsnettverket ved å bruke denne VPN-programvaren.
«Innledende tilgang til Cisco VPN ble oppnådd via den vellykkede kompromitteringen av en Cisco-ansatts personlige Google-konto. Brukeren hadde aktivert passordsynkronisering via Google Chrome og hadde lagret Cisco-legitimasjonen sin i nettleseren, slik at informasjonen kunne synkroniseres med Google-kontoen deres,» skrev Cisco Talos.
Med legitimasjon i besittelse brukte angripere deretter en rekke teknikker for å omgå multifaktorautentiseringen knyttet til VPN-klienten. Innsatsen inkluderte stemmefisking og en type angrep kalt MFA fatigue. Cisco Talos beskriver MFA-tretthetsangrepsteknikken som "prosessen med å sende et stort volum av push-forespørsler til målets mobile enhet til brukeren godtar, enten ved et uhell eller bare for å forsøke å dempe de gjentatte push-varslene de mottar."
De MFA-spoofing angrep mot Cisco-ansatte ble til slutt vellykket og tillot angriperne å kjøre VPN-programvaren som målrettet Cisco-ansatt. "Når angriperen først hadde fått tilgang, registrerte de en rekke nye enheter for MFA og ble autentisert til Cisco VPN," skrev forskere.
"Angriperen eskalerte deretter til administrative privilegier, slik at de kunne logge på flere systemer, noe som varslet vårt Cisco Security Incident Response Team (CSIRT), som deretter reagerte på hendelsen," sa de.
Verktøy brukt av angripere inkluderer LogMeIn og TeamViewer og også støtende sikkerhetsverktøy som Cobalt Strike, PowerSploit, Mimikatz og Impacket.
Mens MFA anses som en viktig sikkerhetsstilling for organisasjoner, er den langt fra hacksikker. Forrige måned, Microsoft-forskere avdekket en massiv phishing kampanje som kan stjele legitimasjon selv om en bruker har multifaktorautentisering (MFA) aktivert og så langt har forsøkt å kompromittere mer enn 10,000 XNUMX organisasjoner.
Cisco fremhever sin Incident Response
Som svar på angrepet implementerte Cisco en bedriftsomfattende tilbakestilling av passord umiddelbart, ifølge Cisco Talos-rapporten.
"Våre funn og påfølgende sikkerhetsbeskyttelser som følge av disse kundeengasjementene hjalp oss med å bremse og begrense angriperens progresjon," skrev de.
Selskapet opprettet deretter to Clam AntiVirus-signaturer (Win.Exploit.Kolobko-9950675-0 og Win.Backdoor.Kolobko-9950676-0) som en forholdsregel for å desinfisere eventuelle ytterligere kompromitterte eiendeler. Clam AntiVirus Signatures (eller ClamAV) er et antimalware-verktøysett på tvers av plattformer som kan oppdage en rekke malware og virus.
"Trusselsaktører bruker vanligvis sosiale ingeniørteknikker for å kompromittere mål, og til tross for hyppigheten av slike angrep, fortsetter organisasjoner å møte utfordringer med å dempe disse truslene. Brukerutdanning er avgjørende for å hindre slike angrep, inkludert å sørge for at ansatte kjenner til de legitime måtene støttepersonell vil kontakte brukere på, slik at ansatte kan identifisere falske forsøk på å få tak i sensitiv informasjon», skrev Cisco Talos.
