Cisco potwierdza naruszenie sieci za pomocą konta Google zhakowanego pracownika

Cisco Systems ujawniło szczegóły majowego włamania przez grupę ransomware Yanluowang, która wykorzystała konto Google zhakowanego pracownika.

Gigant sieciowy nazywa atak „potencjalnym kompromisem” w środowym poście przez własne ramię firmy Cisco Talos zajmujące się badaniem zagrożeń.

„Podczas dochodzenia ustalono, że dane uwierzytelniające pracownika Cisco zostały naruszone po tym, jak atakujący przejął kontrolę nad osobistym kontem Google, na którym synchronizowano dane uwierzytelniające zapisane w przeglądarce ofiary” — napisał Cisco Talos w długiej analizie ataku.

Kryminalistyczne szczegóły ataku skłaniają badaczy Cisco Talos do przypisania ataku grupie zagrożeń Yanluowang, która, jak twierdzą, ma powiązania zarówno z UNC2447, jak i znanymi cybergangami Lapsus$.

Ostatecznie Cisco Talos powiedział, że przeciwnikom nie udało się wdrożyć złośliwego oprogramowania ransomware, jednak udało im się przeniknąć do jego sieci i umieścić kadrę ofensywnych narzędzi hakerskich oraz przeprowadzić wewnętrzny rekonesans sieci „często obserwowany prowadzący do wdrożenia oprogramowania ransomware w środowiskach ofiar”.

Przechytrzyć MFA w celu uzyskania dostępu VPN

Sednem włamania była zdolność atakującego do złamania zabezpieczeń narzędzia Cisco VPN należącego do docelowego pracownika i uzyskania dostępu do sieci korporacyjnej za pomocą tego oprogramowania VPN.

„Pierwszy dostęp do Cisco VPN uzyskano dzięki udanemu przejęciu osobistego konta Google pracownika Cisco. Użytkownik włączył synchronizację haseł przez Google Chrome i przechowywał swoje dane uwierzytelniające Cisco w przeglądarce, umożliwiając synchronizację tych informacji z kontem Google” – napisał Cisco Talos.

Mając dane uwierzytelniające, atakujący wykorzystali następnie wiele technik, aby ominąć uwierzytelnianie wieloskładnikowe powiązane z klientem VPN. Wysiłki obejmowały phishing głosowy i rodzaj ataku zwanego zmęczeniem MFA. Cisco Talos opisuje technikę ataku zmęczeniowego MFA jako „proces wysyłania dużej liczby żądań push do urządzenia mobilnego celu, dopóki użytkownik nie zaakceptuje, przypadkowo lub po prostu w celu wyciszenia powtarzających się powiadomień push, które otrzymuje”.

Połączenia Podszywanie się pod MSZ ataki na pracowników Cisco zakończyły się sukcesem i pozwoliły atakującym uruchomić oprogramowanie VPN jako docelowy pracownik Cisco. „Gdy atakujący uzyskał wstępny dostęp, zarejestrował serię nowych urządzeń dla MFA i pomyślnie uwierzytelnił się w Cisco VPN” – napisali badacze.

„Atakujący następnie przeniósł się do uprawnień administracyjnych, co pozwoliło mu zalogować się do wielu systemów, co zaalarmowało nasz zespół Cisco Security Incident Response Team (CSIRT), który następnie zareagował na incydent” – powiedzieli.

Narzędzia wykorzystywane przez atakujących obejmowały LogMeIn i TeamViewer, a także ofensywne narzędzia bezpieczeństwa, takie jak Cobalt Strike, PowerSploit, Mimikatz i Imppacket.

Chociaż MFA jest uważany za kluczowy element bezpieczeństwa dla organizacji, nie jest odporny na włamania. W zeszłym miesiącu, Odkryli badacze Microsoft masywny phishing kampania, która może ukraść dane uwierzytelniające, nawet jeśli użytkownik ma włączone uwierzytelnianie wieloskładnikowe (MFA) i do tej pory próbował włamać się do ponad 10,000 XNUMX organizacji.

Cisco przedstawia sposób reagowania na incydenty

W odpowiedzi na atak Cisco wdrożyło natychmiastowe resetowanie hasła w całej firmie, jak wynika z raportu Cisco Talos.

„Nasze ustalenia i późniejsze zabezpieczenia wynikające z zaangażowania klientów pomogły nam spowolnić i powstrzymać postęp atakującego” — napisali.

Następnie firma utworzyła dwie sygnatury Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 i Win.Backdoor.Kolobko-9950676-0) jako środek ostrożności w celu wyleczenia wszelkich dodatkowych skompromitowanych zasobów. Clam AntiVirus Signatures (lub ClamAV) to wieloplatformowy zestaw narzędzi do ochrony przed złośliwym oprogramowaniem, zdolny do wykrywania różnego rodzaju złośliwego oprogramowania i wirusów.

„Podmioty zajmujące się zagrożeniami często wykorzystują techniki socjotechniki, aby narażać cele i pomimo częstotliwości takich ataków, organizacje nadal stają przed wyzwaniami łagodzącymi te zagrożenia. Edukacja użytkowników ma kluczowe znaczenie w zapobieganiu takim atakom, w tym upewnienie się, że pracownicy znają legalne sposoby, w jakie personel pomocniczy kontaktuje się z użytkownikami, aby pracownicy mogli identyfikować nieuczciwe próby uzyskania poufnych informacji” — napisał Cisco Talos.