Cisco potrjuje vdor v omrežje prek vdrtega Google računa zaposlenega

Cisco Systems je razkril podrobnosti majskega vdora skupine izsiljevalske programske opreme Yanluowang, ki je izkoristila ogrožen Google račun zaposlenega.

Omrežni velikan napad imenuje "potencialni kompromis" v objavi v sredo s strani podjetja Cisco Talos za raziskovanje groženj.

"Med preiskavo je bilo ugotovljeno, da so bile poverilnice Ciscovega uslužbenca ogrožene, potem ko je napadalec pridobil nadzor nad osebnim računom Google, kjer so se sinhronizirale poverilnice, shranjene v brskalniku žrtve," je zapisal Cisco Talos v daljši razčlenitvi napada.

Forenzične podrobnosti napada vodijo raziskovalce Cisco Talosa, da napad pripišejo skupini groženj Yanluowang, za katero trdijo, da je povezana tako z UNC2447 kot z razvpitimi kibernetskimi združbami Lapsus$.

Končno je Cisco Talos dejal, da nasprotniki niso bili uspešni pri uvajanju zlonamerne programske opreme z izsiljevalsko programsko opremo, vendar so bili uspešni pri prodiranju v njegovo omrežje in namestitvi množice ofenzivnih hekerskih orodij ter izvajanju notranjega izvidovanja omrežja, ki "običajno opazimo, da vodi do uvedbe izsiljevalske programske opreme v okoljih žrtev."

Prelisičiti MFA za dostop VPN

Bistvo vdora je bila zmožnost napadalcev, da ogrozijo pripomoček Cisco VPN ciljnega zaposlenega in s to programsko opremo VPN dostopajo do omrežja podjetja.

»Začetni dostop do Cisco VPN je bil dosežen z uspešnim vdorom v osebni Google račun zaposlenega pri Cisco. Uporabnik je omogočil sinhronizacijo gesel prek Google Chroma in shranil svoje Cisco poverilnice v svoj brskalnik, kar je omogočilo sinhronizacijo teh informacij z njihovim Google računom,« je zapisal Cisco Talos.

S poverilnicami, ki so jih imeli, so napadalci nato uporabili številne tehnike, da bi obšli večfaktorsko avtentikacijo, povezano z odjemalcem VPN. Prizadevanja so vključevala glasovno lažno predstavljanje in vrsto napada, imenovanega MFA fatigue. Cisco Talos opisuje tehniko napadov utrujenosti MFA kot "postopek pošiljanja velike količine potisnih zahtev ciljni mobilni napravi, dokler jih uporabnik ne sprejme, bodisi pomotoma ali preprosto zato, da poskuša utišati ponavljajoča se potisna obvestila, ki jih prejema."

O MFA ponarejanje Napadi na Cisco zaposlenega so bili na koncu uspešni in so napadalcem omogočili zagon programske opreme VPN kot ciljni Ciscov uslužbenec. "Ko je napadalec pridobil začetni dostop, je vključil vrsto novih naprav za MFA in se uspešno overil v Cisco VPN," so zapisali raziskovalci.

"Napadalec je nato pridobil skrbniške privilegije, kar mu je omogočilo prijavo v več sistemov, kar je opozorilo našo skupino za odzivanje na varnostne incidente Cisco (CSIRT), ki se je nato odzvala na incident," so povedali.

Orodja, ki so jih uporabljali napadalci, so vključevala LogMeIn in TeamViewer ter tudi žaljiva varnostna orodja, kot so Cobalt Strike, PowerSploit, Mimikatz in Impacket.

Čeprav MFA velja za bistveno varnostno držo za organizacije, še zdaleč ni odporen na vdore. Prejšnji mesec, Microsoftovi raziskovalci so odkrili ogromen Ribarjenje kampanjo, ki lahko ukrade poverilnice, tudi če ima uporabnik omogočeno večfaktorsko avtentikacijo (MFA) in je doslej poskušala ogroziti več kot 10,000 organizacij.

Cisco poudarja svoj odziv na incidente

Kot odgovor na napad je Cisco takoj implementiral ponastavitev gesla za celotno podjetje, glede na poročilo Cisco Talos.

"Naše ugotovitve in kasnejše varnostne zaščite, ki izhajajo iz teh strank, so nam pomagale upočasniti in zadržati napredovanje napadalca," so zapisali.

Podjetje je nato ustvarilo dva podpisa Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 in Win.Backdoor.Kolobko-9950676-0) kot previdnostni ukrep za razkuževanje morebitnih dodatnih ogroženih sredstev. Clam AntiVirus Signatures (ali ClamAV) je nabor orodij za zaščito pred zlonamerno programsko opremo, ki lahko zazna različne zlonamerne programske opreme in viruse.

»Akterji groženj običajno uporabljajo tehnike družbenega inženiringa za ogrožanje tarč in kljub pogostosti takšnih napadov se organizacije še naprej soočajo z izzivi pri blaženju teh groženj. Izobraževanje uporabnikov je najpomembnejše pri preprečevanju takšnih napadov, vključno z zagotavljanjem, da zaposleni poznajo zakonite načine, na katere bo podporno osebje stopilo v stik z uporabniki, tako da lahko zaposleni prepoznajo goljufive poskuse pridobivanja občutljivih informacij,« je zapisal Cisco Talos.