Ağ devi, saldırganların, güvenliği ihlal edilmiş bir Google hesabı aracılığıyla bir çalışanın VPN istemcisine ilk erişim elde ettiğini söylüyor.
Cisco Systems, Yanluowang fidye yazılımı grubu tarafından, güvenliği ihlal edilmiş bir çalışanın Google hesabından yararlanan bir Mayıs hackinin ayrıntılarını açıkladı.
Ağ devi, saldırıyı “potansiyel bir uzlaşma” olarak nitelendiriyor bir çarşamba gönderisinde şirketin kendi Cisco Talos tehdit araştırma kolu tarafından.
Cisco Talos saldırının uzun bir dökümünde, "Soruşturma sırasında, bir saldırganın, kurbanın tarayıcısına kaydedilen kimlik bilgilerinin senkronize edildiği kişisel bir Google hesabının kontrolünü ele geçirmesinin ardından bir Cisco çalışanının kimlik bilgilerinin ele geçirildiği belirlendi" dedi.
Saldırının adli ayrıntıları, Cisco Talos araştırmacılarının saldırıyı, hem UNC2447 hem de kötü şöhretli Lapsus$ siber çeteleriyle bağları olduğunu iddia ettikleri Yanluowang tehdit grubuna bağlamalarına yol açtı.
Sonuç olarak, Cisco Talos, rakiplerin fidye yazılımı kötü amaçlı yazılımları dağıtmada başarılı olmadıklarını, ancak ağına nüfuz etmede ve bir grup saldırgan korsanlık aracı yerleştirmede ve dahili ağ keşiflerini yürütmede başarılı olduklarını söyledi.
VPN Erişimi için Zekice MFA
Saldırının can alıcı noktası, saldırganların hedeflenen çalışanın Cisco VPN yardımcı programını ele geçirme ve bu VPN yazılımını kullanarak şirket ağına erişme yeteneğiydi.
“Cisco VPN'ye ilk erişim, bir Cisco çalışanının kişisel Google hesabının başarılı bir şekilde ele geçirilmesiyle sağlandı. Kullanıcı, Google Chrome aracılığıyla şifre senkronizasyonunu etkinleştirmiş ve Cisco kimlik bilgilerini tarayıcılarında saklayarak bu bilgilerin Google hesaplarıyla senkronize edilmesini sağlamıştı” diye yazdı Cisco Talos.
Kimlik bilgilerine sahip olan saldırganlar daha sonra VPN istemcisine bağlı çok faktörlü kimlik doğrulamasını atlamak için çok sayıda teknik kullandılar. Çabalar arasında sesli kimlik avı ve MFA yorgunluğu adı verilen bir saldırı türü vardı. Cisco Talos, MFA yorulma saldırısı tekniğini “kullanıcı yanlışlıkla veya basitçe aldıkları tekrarlanan push bildirimlerini susturmaya çalışana kadar hedefin mobil cihazına yüksek hacimli push istekleri gönderme süreci” olarak tanımlıyor.
The MFA sahtekarlığı Cisco çalışanlarına karşı kullanılan saldırılar sonuçta başarılı oldu ve saldırganların VPN yazılımını hedeflenen Cisco çalışanı olarak çalıştırmalarına izin verdi. Araştırmacılar, "Saldırgan ilk erişim elde ettikten sonra, MFA için bir dizi yeni cihaz kaydettirdi ve Cisco VPN'de başarılı bir şekilde kimlik doğrulaması yaptı" diye yazdı.
"Saldırgan daha sonra yönetici ayrıcalıklarına yükseldi ve birden fazla sisteme giriş yapmalarına izin verdi, bu da daha sonra olaya yanıt veren Cisco Güvenlik Olayı Müdahale Ekibimizi (CSIRT) uyardı" dediler.
Saldırganlar tarafından kullanılan araçlar arasında LogMeIn ve TeamViewer ile Cobalt Strike, PowerSploit, Mimikatz ve Impacket gibi saldırgan güvenlik araçları bulunuyor.
MFA, kuruluşlar için temel bir güvenlik duruşu olarak görülse de, hack'e dayanıklı olmaktan uzaktır. Geçen ay, Microsoft araştırmacıları ortaya çıktı muazzam Kimlik avı Bir kullanıcı çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmiş ve şimdiye kadar 10,000'den fazla kuruluştan ödün vermeye çalışsa bile kimlik bilgilerini çalabilen kampanya.
Cisco Olay Müdahalesini Vurguluyor
Cisco Talos raporuna göre, saldırıya yanıt olarak Cisco, şirket genelinde hemen bir parola sıfırlaması uyguladı.
“Bu müşteri etkileşimlerinden kaynaklanan bulgularımız ve müteakip güvenlik korumaları, saldırganın ilerlemesini yavaşlatmamıza ve kontrol altına almamıza yardımcı oldu” diye yazdılar.
Şirket daha sonra, güvenliği ihlal edilmiş olası ek varlıkları dezenfekte etmek için bir önlem olarak iki Clam AntiVirus imzası (Win.Exploit.Kolobko-9950675-0 ve Win.Backdoor.Kolobko-9950676-0) oluşturdu. Clam AntiVirus Signatures (veya ClamAV), çeşitli kötü amaçlı yazılımları ve virüsleri algılayabilen, platformlar arası bir kötü amaçlı yazılımdan koruma araç takımıdır.
“Tehdit aktörleri, hedefleri tehlikeye atmak için genellikle sosyal mühendislik tekniklerini kullanıyor ve bu tür saldırıların sıklığına rağmen, kuruluşlar bu tehditleri hafifleten zorluklarla karşılaşmaya devam ediyor. Cisco Talos, bu tür saldırıların önlenmesinde, çalışanların destek personelinin kullanıcılarla iletişim kurmasının meşru yollarını bilmelerini sağlamak da dahil olmak üzere, kullanıcı eğitimi çok önemlidir, böylece çalışanların hassas bilgileri elde etmeye yönelik sahtekarlık girişimlerini tespit edebilmeleri sağlanır.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://threatpost.com/cisco-network-breach-google/180385/
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- $UP
- 000
- 10
- 50
- 700
- a
- kabiliyet
- Yapabilmek
- Kabul eder
- erişim
- Göre
- Hesap
- elde
- aktörler
- Ek
- idari
- Sonra
- karşı
- izin
- Izin
- Ayrıca
- an
- ve
- antivirüs
- herhangi
- ARE
- ARM
- AS
- Varlıklar
- At
- saldırı
- saldırılar
- girişim
- teşebbüs
- Denemeler
- doğrulanmış
- Doğrulama
- arka kapı
- olmak
- her ikisi de
- ihlal
- Arıza
- tarayıcı
- by
- denilen
- çağrı
- Kampanya
- CAN
- zorluklar
- krom
- Cisco
- müşteri
- çoğunlukla
- şirket
- Şirketin
- uzlaşma
- Uzlaşılmış
- iletken
- kabul
- UAF ile
- içermek
- devam etmek
- kontrol
- Kurumsal
- çevrimiçi kurslar düzenliyorlar.
- Tanıtım
- çapraz platform
- püf noktası
- müşteri
- dağıtma
- açılma
- Rağmen
- ayrıntılar
- belirlemek
- kararlı
- cihaz
- Cihaz
- dezenfekte etmek
- Eğitim
- çabaları
- ya
- Işçi
- çalışanların
- etkin
- etkinleştirme
- nişan
- Mühendislik
- Çalışmaya dahil edilen
- ortamları
- gerekli
- Hatta
- sömürmek
- Yüz
- uzak
- yorgunluk
- bulgular
- İçin
- sahte
- Sıklık
- itibaren
- kazandı
- dev
- Google Chrome
- grup
- kesmek
- üreticilerinin
- hack
- vardı
- yardım
- Yüksek
- özeti
- Ancak
- HTML
- HTTPS
- belirlemek
- if
- hemen
- uygulanan
- in
- olay
- olay yanıtı
- dahil
- Dahil olmak üzere
- bilgi
- INFOSEC
- ilk
- iç
- soruşturma
- IT
- ONUN
- Bilmek
- Soyad
- öncülük etmek
- önemli
- meşru
- kaldıraçlı
- giriş
- logmein
- korumak
- Yapımı
- kötü amaçlı yazılım
- maksimum genişlik
- Mayıs..
- MFA
- hafifletici
- Telefon
- mobil cihaz
- Ay
- Daha
- çok faktörlü kimlik doğrulama
- çok faktörlü kimlik doğrulama
- çoklu
- çokluk
- ağ
- ağ
- yeni
- Kaydolun
- bildirimleri
- adı çıkmış
- gözlenen
- elde etmek
- elde
- of
- saldırgan
- or
- organizasyonlar
- bizim
- genel bakış
- kendi
- Olağanüstü
- Şifre
- parola sıfırlama
- kişisel
- personel
- Kimlik avı
- Ekim
- Platon
- Plato Veri Zekası
- PlatoVeri
- mülk
- mümkün
- ayrıcalıklar
- süreç
- ilerleme
- Itmek
- fidye
- alma
- tekrarlanan
- rapor
- isteklerinizi
- araştırma
- Araştırmacılar
- yanıt
- Ortaya çıkan
- Açığa
- koşmak
- Adı geçen
- kaydedilmiş
- diyor
- güvenlik
- güvenlik araçları
- gönderme
- hassas
- Dizi
- İmzalar
- sessizlik
- sadece
- yavaş
- So
- şu ana kadar
- Sosyal Medya
- Sosyal mühendislik
- Yazılım
- saklı
- grev
- sonraki
- Daha sonra
- başarılı
- Başarılı olarak
- böyle
- destek
- elbette
- Sistemler
- talos
- Hedeflenen
- hedefler
- takım
- teknik
- teknikleri
- göre
- o
- The
- ve bazı Asya
- Onları
- sonra
- onlar
- Bu
- tehdit
- tehditler
- bağlı
- Kravatlar
- için
- araç
- araçlar
- iki
- tip
- eninde sonunda
- kadar
- us
- kullanım
- Kullanılmış
- kullanıcı
- kullanıcılar
- kullanma
- yarar
- çeşitlilik
- üzerinden
- Kurban
- virüsler
- ses
- hacim
- VPN
- oldu
- yolları
- Çarşamba
- vardı
- hangi
- DSÖ
- irade
- kazanmak
- yazdı
- zefirnet