Cisco подтверждает взлом сети через взломанную учетную запись Google сотрудника

Cisco Systems раскрыла детали майского взлома, проведенного группой вымогателей Yanluowang, которая использовала скомпрометированную учетную запись Google сотрудника.

Сетевой гигант называет атаку «потенциальным компромиссом». в посте по средам собственным подразделением компании по исследованию угроз Cisco Talos.

«В ходе расследования было установлено, что учетные данные сотрудника Cisco были скомпрометированы после того, как злоумышленник получил контроль над личной учетной записью Google, где синхронизировались учетные данные, сохраненные в браузере жертвы», — написал Cisco Talos в подробном анализе атаки.

Криминалистические детали атаки позволяют исследователям Cisco Talos приписать атаку группе угроз Yanluowang, которая, по их мнению, связана как с UNC2447, так и с печально известными кибербандами Lapsus$.

В конечном счете, Cisco Talos заявила, что злоумышленникам не удалось развернуть вредоносное ПО для вымогательства, однако им удалось проникнуть в его сеть, внедрить ряд наступательных хакерских инструментов и провести внутреннюю сетевую разведку, «что обычно наблюдается, приводя к развертыванию программ-вымогателей в средах жертв».

Перехитрить MFA для VPN-доступа

Суть взлома заключалась в способности злоумышленников скомпрометировать утилиту Cisco VPN целевого сотрудника и получить доступ к корпоративной сети с помощью этого программного обеспечения VPN.

«Первоначальный доступ к Cisco VPN был получен благодаря успешной компрометации личной учетной записи Google сотрудника Cisco. Пользователь включил синхронизацию паролей через Google Chrome и сохранил свои учетные данные Cisco в своем браузере, что позволило синхронизировать эту информацию со своей учетной записью Google», — написал Cisco Talos.

Имея учетные данные, злоумышленники затем использовали множество методов для обхода многофакторной аутентификации, привязанной к VPN-клиенту. Усилия включали голосовой фишинг и тип атаки под названием усталость MFA. Cisco Talos описывает метод усталостной атаки MFA как «процесс отправки большого количества push-запросов на мобильное устройство цели до тех пор, пока пользователь не примет их, либо случайно, либо просто для того, чтобы попытаться отключить повторяющиеся push-уведомления, которые они получают».

Ассоциация спуфинг MFA атаки, направленные против сотрудника Cisco, в конечном итоге были успешными и позволили злоумышленникам запустить программное обеспечение VPN от имени целевого сотрудника Cisco. «После того как злоумышленник получил первоначальный доступ, он зарегистрировал ряд новых устройств для MFA и успешно прошел аутентификацию в Cisco VPN», — пишут исследователи.

«Затем злоумышленник получил административные привилегии, что позволило ему войти в несколько систем, что предупредило нашу группу реагирования на инциденты безопасности Cisco (CSIRT), которая впоследствии отреагировала на инцидент», — сказали они.

Инструменты, используемые злоумышленниками, включали LogMeIn и TeamViewer, а также наступательные инструменты безопасности, такие как Cobalt Strike, PowerSploit, Mimikatz и Impacket.

Хотя MFA считается важным средством безопасности для организаций, оно далеко не защищено от взлома. Прошлый месяц, Исследователи Microsoft обнаружили массивный фишинг кампания, которая может похитить учетные данные, даже если у пользователя включена многофакторная аутентификация (MFA) и на данный момент он пытался скомпрометировать более 10,000 XNUMX организаций.

Cisco выделяет свое реагирование на инциденты

Согласно отчету Cisco Talos, в ответ на атаку Cisco немедленно сбросила пароль для всей компании.

«Наши результаты и последующие меры безопасности, полученные в результате взаимодействия с клиентами, помогли нам замедлить и сдержать продвижение злоумышленника», — написали они.

Затем компания создала две сигнатуры Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 и Win.Backdoor.Kolobko-9950676-0) в качестве меры предосторожности для дезинфекции любых возможных дополнительных скомпрометированных активов. Clam AntiVirus Signatures (или ClamAV) — это кроссплатформенный набор инструментов для защиты от вредоносных программ, способный обнаруживать различные вредоносные программы и вирусы.

«Субъекты угроз обычно используют методы социальной инженерии для компрометации целей, и, несмотря на частоту таких атак, организации продолжают сталкиваться с проблемами, связанными с устранением этих угроз. Обучение пользователей имеет первостепенное значение для предотвращения таких атак, в том числе для того, чтобы сотрудники знали законные способы, с помощью которых персонал службы поддержки будет связываться с пользователями, чтобы сотрудники могли выявлять мошеннические попытки получения конфиденциальной информации», — пишет Cisco Talos.