ยักษ์ใหญ่ด้านเครือข่ายกล่าวว่าผู้โจมตีสามารถเข้าถึงไคลเอนต์ VPN ของพนักงานได้เป็นครั้งแรกผ่านบัญชี Google ที่ถูกบุกรุก
Cisco Systems เปิดเผยรายละเอียดเกี่ยวกับการแฮ็กในเดือนพฤษภาคมโดยกลุ่มแรนซัมแวร์ Yanluowang ซึ่งใช้ประโยชน์จากบัญชี Google ของพนักงานที่ถูกบุกรุก
ยักษ์ใหญ่เครือข่ายเรียกการโจมตีว่า "การประนีประนอมที่อาจเกิดขึ้น" ในโพสต์วันพุธ โดยฝ่ายวิจัยภัยคุกคามของ Cisco Talos ของบริษัทเอง
“ในระหว่างการสอบสวน พบว่าข้อมูลประจำตัวของพนักงาน Cisco ถูกบุกรุกหลังจากที่ผู้โจมตีเข้าควบคุมบัญชี Google ส่วนบุคคล ซึ่งข้อมูลประจำตัวที่บันทึกไว้ในเบราว์เซอร์ของเหยื่อกำลังถูกซิงโครไนซ์” Cisco Talos เขียนในรายละเอียดเกี่ยวกับการโจมตีที่ใช้เวลานาน
รายละเอียดทางนิติวิทยาศาสตร์ของการโจมตีทำให้นักวิจัยของ Cisco Talos ระบุถึงการโจมตีของกลุ่มภัยคุกคาม Yanluowang ซึ่งพวกเขายืนยันว่ามีความเกี่ยวข้องกับทั้ง UNC2447 และกลุ่มอาชญากรไซเบอร์ Lapsus$ ที่ฉาวโฉ่
ในท้ายที่สุด Cisco Talos กล่าวว่าคู่ต่อสู้ไม่ประสบความสำเร็จในการปรับใช้มัลแวร์เรียกค่าไถ่ อย่างไรก็ตาม ประสบความสำเร็จในการเจาะเครือข่ายและสร้างกลุ่มเครื่องมือแฮ็คที่ไม่เหมาะสมและดำเนินการสำรวจเครือข่ายภายใน "ซึ่งพบได้ทั่วไปซึ่งนำไปสู่การปรับใช้แรนซัมแวร์ในสภาพแวดล้อมของเหยื่อ"
เก่งกว่า MFA สำหรับการเข้าถึง VPN
จุดสำคัญของการแฮ็กคือความสามารถของผู้โจมตีในการประนีประนอมยูทิลิตี้ Cisco VPN ของพนักงานเป้าหมายและเข้าถึงเครือข่ายองค์กรโดยใช้ซอฟต์แวร์ VPN นั้น
“การเข้าถึง Cisco VPN ในขั้นต้นนั้นเกิดขึ้นได้จากการประนีประนอมกับบัญชี Google ส่วนตัวของพนักงาน Cisco ที่ประสบความสำเร็จ ผู้ใช้เปิดใช้งานการซิงค์รหัสผ่านผ่าน Google Chrome และเก็บข้อมูลประจำตัวของ Cisco ไว้ในเบราว์เซอร์ ทำให้ข้อมูลดังกล่าวสามารถซิงโครไนซ์กับบัญชี Google ของพวกเขาได้” Cisco Talos เขียน
ด้วยข้อมูลประจำตัวที่อยู่ในความครอบครอง ผู้โจมตีจึงใช้เทคนิคมากมายเพื่อเลี่ยงการพิสูจน์ตัวตนแบบหลายปัจจัยที่เชื่อมโยงกับไคลเอนต์ VPN ความพยายามรวมถึงการฟิชชิงด้วยเสียงและการโจมตีประเภทหนึ่งที่เรียกว่าความเหนื่อยล้าของ MFA Cisco Talos อธิบายเทคนิคการโจมตีเมื่อยล้าของ MFA ว่าเป็น "กระบวนการส่งคำขอพุชจำนวนมากไปยังอุปกรณ์เคลื่อนที่ของเป้าหมายจนกว่าผู้ใช้จะยอมรับ ไม่ว่าจะโดยบังเอิญหรือเพียงเพื่อพยายามปิดเสียงการแจ้งเตือนแบบพุชซ้ำๆ ที่พวกเขาได้รับ"
พื้นที่ การปลอมแปลง MFA การโจมตีที่ใช้ประโยชน์จากพนักงานของ Cisco ประสบความสำเร็จในท้ายที่สุด และอนุญาตให้ผู้โจมตีเรียกใช้ซอฟต์แวร์ VPN ในฐานะพนักงานเป้าหมายของ Cisco “เมื่อผู้โจมตีได้รับการเข้าถึงครั้งแรก พวกเขาลงทะเบียนชุดอุปกรณ์ใหม่สำหรับ MFA และรับรองความถูกต้องกับ Cisco VPN ได้สำเร็จ” นักวิจัยเขียน
“จากนั้นผู้โจมตีก็ขยายไปสู่สิทธิ์ของผู้ดูแลระบบ ทำให้พวกเขาเข้าสู่ระบบได้หลายระบบ ซึ่งแจ้งเตือนทีมตอบสนองเหตุการณ์ด้านความปลอดภัยของซิสโก้ (CSIRT) ของเราซึ่งตอบสนองต่อเหตุการณ์นั้นในเวลาต่อมา” พวกเขากล่าว
เครื่องมือที่ผู้โจมตีใช้ ได้แก่ LogMeIn และ TeamViewer และเครื่องมือรักษาความปลอดภัยเชิงรุก เช่น Cobalt Strike, PowerSploit, Mimikatz และ Impacket
แม้ว่า MFA จะถือเป็นมาตรการรักษาความปลอดภัยที่จำเป็นสำหรับองค์กร แต่ก็ยังห่างไกลจากการป้องกันการแฮ็ก เดือนที่แล้ว, นักวิจัยของ Microsoft ค้นพบ ใหญ่โต ฟิชชิ่ง แคมเปญที่สามารถขโมยข้อมูลประจำตัวได้แม้ว่าผู้ใช้จะเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) และได้พยายามประนีประนอมกับองค์กรมากกว่า 10,000 แห่ง
Cisco เน้นย้ำการตอบสนองต่อเหตุการณ์
ในการตอบสนองต่อการโจมตี Cisco ได้ใช้การรีเซ็ตรหัสผ่านทั่วทั้งบริษัททันที ตามรายงานของ Cisco Talos
“การค้นพบของเราและการป้องกันความปลอดภัยที่ตามมาซึ่งเป็นผลมาจากการมีส่วนร่วมกับลูกค้าเหล่านั้นช่วยให้เราช้าลงและควบคุมความก้าวหน้าของผู้โจมตีได้” พวกเขาเขียน
จากนั้นบริษัทได้สร้างลายเซ็น Clam AntiVirus สองรายการ (Win.Exploit.Klobko-9950675-0 และ Win.Backdoor.Kolobko-9950676-0) เพื่อเป็นการป้องกันไว้ก่อนในการฆ่าเชื้อทรัพย์สินที่อาจเป็นอันตรายเพิ่มเติม Clam AntiVirus Signatures (หรือ ClamAV) เป็นชุดเครื่องมือต่อต้านมัลแวร์ข้ามแพลตฟอร์มที่สามารถตรวจจับมัลแวร์และไวรัสได้หลากหลาย
“ผู้คุกคามมักใช้เทคนิควิศวกรรมโซเชียลเพื่อประนีประนอมกับเป้าหมาย และถึงแม้จะมีความถี่ของการโจมตีดังกล่าว องค์กรยังคงเผชิญกับความท้าทายในการบรรเทาภัยคุกคามเหล่านั้น การศึกษาของผู้ใช้เป็นสิ่งสำคัญยิ่งในการขัดขวางการโจมตีดังกล่าว รวมถึงการตรวจสอบให้แน่ใจว่าพนักงานทราบวิธีการที่ถูกต้องตามกฎหมายที่เจ้าหน้าที่สนับสนุนจะติดต่อผู้ใช้ เพื่อให้พนักงานสามารถระบุความพยายามในการฉ้อโกงเพื่อให้ได้ข้อมูลที่ละเอียดอ่อน” Cisco Talos เขียน
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://threatpost.com/cisco-network-breach-google/180385/
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 000
- 10
- 50
- 700
- a
- ความสามารถ
- สามารถ
- ยอมรับ
- เข้า
- ตาม
- ลงชื่อเข้าใช้
- ประสบความสำเร็จ
- นักแสดง
- เพิ่มเติม
- การบริหาร
- หลังจาก
- กับ
- อนุญาตให้
- การอนุญาต
- ด้วย
- an
- และ
- โปรแกรมป้องกันไวรัส
- ใด
- เป็น
- ARM
- AS
- สินทรัพย์
- At
- โจมตี
- การโจมตี
- ความพยายาม
- พยายาม
- ความพยายามในการ
- รับรองความถูกต้อง
- การยืนยันตัวตน
- ประตูหลัง
- กำลัง
- ทั้งสอง
- ช่องโหว่
- รายละเอียด
- เบราว์เซอร์
- by
- ที่เรียกว่า
- โทร
- รณรงค์
- CAN
- ความท้าทาย
- Chrome
- ซิสโก้
- ไคลเอนต์
- อย่างธรรมดา
- บริษัท
- บริษัท
- การประนีประนอม
- ที่ถูกบุกรุก
- การดำเนิน
- ถือว่า
- ติดต่อเรา
- บรรจุ
- ต่อ
- ควบคุม
- ไทม์ไลน์การ
- ที่สร้างขึ้น
- หนังสือรับรอง
- ข้ามแพลตฟอร์ม
- ปม
- ลูกค้า
- ปรับใช้
- การใช้งาน
- แม้จะมี
- รายละเอียด
- ตรวจจับ
- แน่นอน
- เครื่อง
- อุปกรณ์
- ฆ่าเชื้อ
- การศึกษา
- ความพยายาม
- ทั้ง
- ลูกจ้าง
- พนักงาน
- เปิดการใช้งาน
- การเปิดใช้งาน
- การนัดหมาย
- ชั้นเยี่ยม
- ลงทะเบียนแล้ว
- สภาพแวดล้อม
- จำเป็น
- แม้
- เอาเปรียบ
- ใบหน้า
- ไกล
- ความเมื่อยล้า
- ผลการวิจัย
- สำหรับ
- ฉ้อโกง
- เวลา
- ราคาเริ่มต้นที่
- ที่ได้รับ
- ยักษ์
- Google Chrome
- บัญชีกลุ่ม
- สับ
- hacked
- แฮ็ค
- มี
- ช่วย
- จุดสูง
- ไฮไลท์
- อย่างไรก็ตาม
- HTML
- HTTPS
- แยกแยะ
- if
- ทันที
- การดำเนินการ
- in
- อุบัติการณ์
- การตอบสนองต่อเหตุการณ์
- รวม
- รวมทั้ง
- ข้อมูล
- อินโฟเซค
- แรกเริ่ม
- ภายใน
- การสอบสวน
- IT
- ITS
- ทราบ
- ชื่อสกุล
- นำ
- ชั้นนำ
- ถูกกฎหมาย
- ใช้ประโยชน์
- เข้าสู่ระบบ
- LogMeIn
- เก็บรักษา
- การทำ
- มัลแวร์
- ความกว้างสูงสุด
- อาจ..
- ไอ้เวรตะไล
- ซึ่งบรรเทา
- โทรศัพท์มือถือ
- โทรศัพท์มือถือ
- เดือน
- ข้อมูลเพิ่มเติม
- การตรวจสอบหลายปัจจัย
- การพิสูจน์ตัวตนแบบหลายปัจจัย
- หลาย
- ฝูง
- เครือข่าย
- เครือข่าย
- ใหม่
- จดหมายข่าว
- การแจ้งเตือน
- ฉาวโฉ่
- ตั้งข้อสังเกต
- ได้รับ
- ที่ได้รับ
- of
- น่ารังเกียจ
- or
- องค์กร
- ของเรา
- ภาพรวม
- ของตนเอง
- สำคัญยิ่ง
- รหัสผ่าน
- รีเซ็ตรหัสผ่าน
- ส่วนบุคคล
- บุคลากร
- ฟิชชิ่ง
- การเพาะปลูก
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- สมบัติ
- เป็นไปได้
- สิทธิ์
- กระบวนการ
- ในอาชีพ
- ผลัก
- ransomware
- การได้รับ
- ซ้ำแล้วซ้ำอีก
- รายงาน
- การร้องขอ
- การวิจัย
- นักวิจัย
- คำตอบ
- ส่งผลให้
- เปิดเผย
- วิ่ง
- กล่าวว่า
- ที่บันทึกไว้
- พูดว่า
- ความปลอดภัย
- เครื่องมือรักษาความปลอดภัย
- การส่ง
- มีความละเอียดอ่อน
- ชุด
- ลายเซ็น
- ความเงียบ
- ง่ายดาย
- ช้า
- So
- จนถึงตอนนี้
- สังคม
- วิศวกรรมทางสังคม
- ซอฟต์แวร์
- เก็บไว้
- โขก
- ภายหลัง
- ต่อจากนั้น
- ที่ประสบความสำเร็จ
- ประสบความสำเร็จ
- อย่างเช่น
- สนับสนุน
- แน่ใจ
- ระบบ
- ลอส
- เป้าหมาย
- เป้าหมาย
- ทีม
- เทคนิค
- เทคนิค
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- แล้วก็
- พวกเขา
- เหล่านั้น
- การคุกคาม
- ภัยคุกคาม
- ผูก
- ความสัมพันธ์
- ไปยัง
- เครื่องมือ
- เครื่องมือ
- สอง
- ชนิด
- ในที่สุด
- จนกระทั่ง
- us
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- การใช้
- ประโยชน์
- ความหลากหลาย
- ผ่านทาง
- เหยื่อ
- ไวรัส
- เสียงพูด
- ปริมาณ
- VPN
- คือ
- วิธี
- วันพุธ
- คือ
- ที่
- WHO
- จะ
- ชนะ
- เขียน
- ลมทะเล