Cisco ยืนยันการละเมิดเครือข่ายผ่านบัญชี Google ของพนักงานที่ถูกแฮ็ก

Cisco Systems เปิดเผยรายละเอียดเกี่ยวกับการแฮ็กในเดือนพฤษภาคมโดยกลุ่มแรนซัมแวร์ Yanluowang ซึ่งใช้ประโยชน์จากบัญชี Google ของพนักงานที่ถูกบุกรุก

ยักษ์ใหญ่เครือข่ายเรียกการโจมตีว่า "การประนีประนอมที่อาจเกิดขึ้น" ในโพสต์วันพุธ โดยฝ่ายวิจัยภัยคุกคามของ Cisco Talos ของบริษัทเอง

“ในระหว่างการสอบสวน พบว่าข้อมูลประจำตัวของพนักงาน Cisco ถูกบุกรุกหลังจากที่ผู้โจมตีเข้าควบคุมบัญชี Google ส่วนบุคคล ซึ่งข้อมูลประจำตัวที่บันทึกไว้ในเบราว์เซอร์ของเหยื่อกำลังถูกซิงโครไนซ์” Cisco Talos เขียนในรายละเอียดเกี่ยวกับการโจมตีที่ใช้เวลานาน

รายละเอียดทางนิติวิทยาศาสตร์ของการโจมตีทำให้นักวิจัยของ Cisco Talos ระบุถึงการโจมตีของกลุ่มภัยคุกคาม Yanluowang ซึ่งพวกเขายืนยันว่ามีความเกี่ยวข้องกับทั้ง UNC2447 และกลุ่มอาชญากรไซเบอร์ Lapsus$ ที่ฉาวโฉ่

ในท้ายที่สุด Cisco Talos กล่าวว่าคู่ต่อสู้ไม่ประสบความสำเร็จในการปรับใช้มัลแวร์เรียกค่าไถ่ อย่างไรก็ตาม ประสบความสำเร็จในการเจาะเครือข่ายและสร้างกลุ่มเครื่องมือแฮ็คที่ไม่เหมาะสมและดำเนินการสำรวจเครือข่ายภายใน "ซึ่งพบได้ทั่วไปซึ่งนำไปสู่การปรับใช้แรนซัมแวร์ในสภาพแวดล้อมของเหยื่อ"

เก่งกว่า MFA สำหรับการเข้าถึง VPN

จุดสำคัญของการแฮ็กคือความสามารถของผู้โจมตีในการประนีประนอมยูทิลิตี้ Cisco VPN ของพนักงานเป้าหมายและเข้าถึงเครือข่ายองค์กรโดยใช้ซอฟต์แวร์ VPN นั้น

“การเข้าถึง Cisco VPN ในขั้นต้นนั้นเกิดขึ้นได้จากการประนีประนอมกับบัญชี Google ส่วนตัวของพนักงาน Cisco ที่ประสบความสำเร็จ ผู้ใช้เปิดใช้งานการซิงค์รหัสผ่านผ่าน Google Chrome และเก็บข้อมูลประจำตัวของ Cisco ไว้ในเบราว์เซอร์ ทำให้ข้อมูลดังกล่าวสามารถซิงโครไนซ์กับบัญชี Google ของพวกเขาได้” Cisco Talos เขียน

ด้วยข้อมูลประจำตัวที่อยู่ในความครอบครอง ผู้โจมตีจึงใช้เทคนิคมากมายเพื่อเลี่ยงการพิสูจน์ตัวตนแบบหลายปัจจัยที่เชื่อมโยงกับไคลเอนต์ VPN ความพยายามรวมถึงการฟิชชิงด้วยเสียงและการโจมตีประเภทหนึ่งที่เรียกว่าความเหนื่อยล้าของ MFA Cisco Talos อธิบายเทคนิคการโจมตีเมื่อยล้าของ MFA ว่าเป็น "กระบวนการส่งคำขอพุชจำนวนมากไปยังอุปกรณ์เคลื่อนที่ของเป้าหมายจนกว่าผู้ใช้จะยอมรับ ไม่ว่าจะโดยบังเอิญหรือเพียงเพื่อพยายามปิดเสียงการแจ้งเตือนแบบพุชซ้ำๆ ที่พวกเขาได้รับ"

พื้นที่ การปลอมแปลง MFA การโจมตีที่ใช้ประโยชน์จากพนักงานของ Cisco ประสบความสำเร็จในท้ายที่สุด และอนุญาตให้ผู้โจมตีเรียกใช้ซอฟต์แวร์ VPN ในฐานะพนักงานเป้าหมายของ Cisco “เมื่อผู้โจมตีได้รับการเข้าถึงครั้งแรก พวกเขาลงทะเบียนชุดอุปกรณ์ใหม่สำหรับ MFA และรับรองความถูกต้องกับ Cisco VPN ได้สำเร็จ” นักวิจัยเขียน

“จากนั้นผู้โจมตีก็ขยายไปสู่สิทธิ์ของผู้ดูแลระบบ ทำให้พวกเขาเข้าสู่ระบบได้หลายระบบ ซึ่งแจ้งเตือนทีมตอบสนองเหตุการณ์ด้านความปลอดภัยของซิสโก้ (CSIRT) ของเราซึ่งตอบสนองต่อเหตุการณ์นั้นในเวลาต่อมา” พวกเขากล่าว

เครื่องมือที่ผู้โจมตีใช้ ได้แก่ LogMeIn และ TeamViewer และเครื่องมือรักษาความปลอดภัยเชิงรุก เช่น Cobalt Strike, PowerSploit, Mimikatz และ Impacket

แม้ว่า MFA จะถือเป็นมาตรการรักษาความปลอดภัยที่จำเป็นสำหรับองค์กร แต่ก็ยังห่างไกลจากการป้องกันการแฮ็ก เดือนที่แล้ว, นักวิจัยของ Microsoft ค้นพบ ใหญ่โต ฟิชชิ่ง แคมเปญที่สามารถขโมยข้อมูลประจำตัวได้แม้ว่าผู้ใช้จะเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) และได้พยายามประนีประนอมกับองค์กรมากกว่า 10,000 แห่ง

Cisco เน้นย้ำการตอบสนองต่อเหตุการณ์

ในการตอบสนองต่อการโจมตี Cisco ได้ใช้การรีเซ็ตรหัสผ่านทั่วทั้งบริษัททันที ตามรายงานของ Cisco Talos

“การค้นพบของเราและการป้องกันความปลอดภัยที่ตามมาซึ่งเป็นผลมาจากการมีส่วนร่วมกับลูกค้าเหล่านั้นช่วยให้เราช้าลงและควบคุมความก้าวหน้าของผู้โจมตีได้” พวกเขาเขียน

จากนั้นบริษัทได้สร้างลายเซ็น Clam AntiVirus สองรายการ (Win.Exploit.Klobko-9950675-0 และ Win.Backdoor.Kolobko-9950676-0) เพื่อเป็นการป้องกันไว้ก่อนในการฆ่าเชื้อทรัพย์สินที่อาจเป็นอันตรายเพิ่มเติม Clam AntiVirus Signatures (หรือ ClamAV) เป็นชุดเครื่องมือต่อต้านมัลแวร์ข้ามแพลตฟอร์มที่สามารถตรวจจับมัลแวร์และไวรัสได้หลากหลาย

“ผู้คุกคามมักใช้เทคนิควิศวกรรมโซเชียลเพื่อประนีประนอมกับเป้าหมาย และถึงแม้จะมีความถี่ของการโจมตีดังกล่าว องค์กรยังคงเผชิญกับความท้าทายในการบรรเทาภัยคุกคามเหล่านั้น การศึกษาของผู้ใช้เป็นสิ่งสำคัญยิ่งในการขัดขวางการโจมตีดังกล่าว รวมถึงการตรวจสอบให้แน่ใจว่าพนักงานทราบวิธีการที่ถูกต้องตามกฎหมายที่เจ้าหน้าที่สนับสนุนจะติดต่อผู้ใช้ เพื่อให้พนักงานสามารถระบุความพยายามในการฉ้อโกงเพื่อให้ได้ข้อมูลที่ละเอียดอ่อน” Cisco Talos เขียน