Cisco confirmă încălcarea rețelei prin intermediul unui cont Google de angajat piratat

Cisco Systems a dezvăluit detalii despre un hack din luna mai al grupului de ransomware Yanluowang care a folosit contul Google al unui angajat compromis.

Gigantul de rețele numește atacul un „potențial compromis” într-o postare de miercuri de către grupul de cercetare al amenințărilor Cisco Talos al companiei.

„În timpul investigației, s-a stabilit că acreditările unui angajat Cisco au fost compromise după ce un atacator a câștigat controlul asupra unui cont personal Google în care datele de conectare salvate în browserul victimei erau sincronizate”, a scris Cisco Talos într-o defalcare îndelungată a atacului.

Detaliile criminalistice ale atacului i-au determinat pe cercetătorii Cisco Talos să atribuie atacul grupului de amenințare Yanluowang, despre care susțin că are legături atât cu UNC2447, cât și cu notoriile cybergangs Lapsus$.

În cele din urmă, Cisco Talos a spus că adversarii nu au reușit să implementeze malware ransomware, totuși au reușit să pătrundă în rețeaua sa și să planteze un cadru de instrumente de hacking ofensive și să efectueze recunoaștere internă a rețelei „observate în mod obișnuit care au condus la implementarea ransomware-ului în mediile victime”.

Depășirea MFA pentru acces VPN

Cheia hack-ului a fost capacitatea atacatorilor de a compromite utilitarul Cisco VPN al angajatului vizat și de a accesa rețeaua corporativă folosind acel software VPN.

„Accesul inițial la VPN Cisco a fost obținut prin compromiterea cu succes a contului personal Google al unui angajat Cisco. Utilizatorul a activat sincronizarea parolei prin Google Chrome și și-a stocat acreditările Cisco în browser, permițând ca aceste informații să se sincronizeze cu contul său Google”, a scris Cisco Talos.

Cu acreditările în posesia lor, atacatorii au folosit apoi o multitudine de tehnici pentru a ocoli autentificarea multifactorială legată de clientul VPN. Eforturile au inclus phishing vocal și un tip de atac numit oboseală MFA. Cisco Talos descrie tehnica atacului de oboseală MFA ca fiind „procesul de trimitere a unui volum mare de solicitări push către dispozitivul mobil al țintei până când utilizatorul acceptă, fie accidental, fie pur și simplu, să încerce să reducă la tăcere notificările push repetate pe care le primesc”.

Falsificarea MFA atacurile aplicate împotriva angajaților Cisco au fost în cele din urmă cu succes și au permis atacatorilor să ruleze software-ul VPN ca angajat Cisco vizat. „Odată ce atacatorul a obținut accesul inițial, au înscris o serie de dispozitive noi pentru MFA și s-au autentificat cu succes la Cisco VPN”, au scris cercetătorii.

„Atacatorul a escaladat apoi la privilegii administrative, permițându-le să se conecteze la mai multe sisteme, ceea ce a alertat Echipa noastră de răspuns la incidente de securitate Cisco (CSIRT), care a răspuns ulterior la incident”, au spus aceștia.

Instrumentele folosite de atacatori au inclus LogMeIn și TeamViewer și, de asemenea, instrumente de securitate ofensive precum Cobalt Strike, PowerSploit, Mimikatz și Impacket.

În timp ce MFA este considerată o poziție de securitate esențială pentru organizații, este departe de a fi rezistentă la hack. Luna trecuta, Cercetătorii Microsoft au descoperit un masiv Phishing campanie care poate fura acreditările chiar dacă un utilizator are activată autentificarea multi-factor (MFA) și a încercat până acum să compromită peste 10,000 de organizații.

Cisco își evidențiază răspunsul la incident

Ca răspuns la atac, Cisco a implementat imediat o resetare a parolei la nivel de companie, conform raportului Cisco Talos.

„Descoperirile noastre și protecțiile de securitate ulterioare care rezultă din acele angajamente ale clienților ne-au ajutat să încetinim și să limităm progresia atacatorului”, au scris aceștia.

Compania a creat apoi două semnături Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 și Win.Backdoor.Kolobko-9950676-0) ca măsură de precauție pentru a dezinfecta orice posibile active suplimentare compromise. Clam AntiVirus Signatures (sau ClamAV) este un set de instrumente antimalware multiplatformă capabil să detecteze o varietate de malware și viruși.

„Actorii amenințărilor folosesc în mod obișnuit tehnici de inginerie socială pentru a compromite ținte și, în ciuda frecvenței unor astfel de atacuri, organizațiile continuă să se confrunte cu provocări pentru atenuarea acestor amenințări. Educația utilizatorilor este esențială pentru a contracara astfel de atacuri, inclusiv pentru a se asigura că angajații cunosc modalitățile legitime prin care personalul de asistență îi va contacta pe utilizatori, astfel încât angajații să poată identifica încercările frauduloase de a obține informații sensibile”, a scris Cisco Talos.