Мережевий гігант каже, що зловмисники отримали початковий доступ до VPN-клієнта співробітника через зламаний обліковий запис Google.
Cisco Systems розкрила подробиці травневого зламу групи програм-вимагачів Yanluowang, яка використала зламаний обліковий запис Google співробітника.
Мережевий гігант називає атаку «потенційним компромісом» у публікації в середу власним відділом дослідження загроз Cisco Talos компанії.
«Під час розслідування було встановлено, що облікові дані співробітника Cisco були скомпрометовані після того, як зловмисник отримав контроль над особистим обліковим записом Google, де синхронізувалися облікові дані, збережені в браузері жертви», — написав Cisco Talos у розгорнутому описі атаки.
Криміналістичні деталі атаки спонукають дослідників Cisco Talos приписати атаку групі загроз Yanluowang, яка, на їхню думку, має зв’язки як з UNC2447, так і з сумнозвісними кібербандами Lapsus$.
Зрештою, Cisco Talos заявила, що зловмисникам не вдалося розгорнути зловмисне програмне забезпечення-вимагач, однак вдалося проникнути в її мережу та розмістити групу агресивних інструментів злому та провести розвідку внутрішньої мережі, що «зазвичай спостерігалося, що призвело до розгортання програм-вимагачів у середовищах жертв».
Перехитрити MFA для доступу до VPN
Суть злому полягала в здатності зловмисників скомпрометувати утиліту Cisco VPN цільового працівника та отримати доступ до корпоративної мережі за допомогою цього програмного забезпечення VPN.
«Початковий доступ до Cisco VPN було отримано через успішну компрометацію особистого облікового запису Google співробітника Cisco. Користувач увімкнув синхронізацію паролів через Google Chrome і зберіг свої облікові дані Cisco у своєму браузері, дозволяючи цю інформацію синхронізувати з обліковим записом Google», – написав Cisco Talos.
Маючи облікові дані, зловмисники використовували безліч методів, щоб обійти багатофакторну автентифікацію, пов’язану з клієнтом VPN. Зусилля включали голосовий фішинг і тип атаки під назвою MFA fatigue. Cisco Talos описує техніку втомленої атаки MFA як «процес надсилання великої кількості push-запитів на цільовий мобільний пристрій, доки користувач не прийме їх випадково або просто для того, щоб спробувати заглушити повторні push-повідомлення, які вони отримують».
Команда Підробка MFA Атаки, застосовані проти співробітника Cisco, зрештою були успішними та дозволили зловмисникам запустити програмне забезпечення VPN як цільового співробітника Cisco. «Після того, як зловмисник отримав початковий доступ, він зареєстрував низку нових пристроїв для MFA та успішно пройшов автентифікацію в Cisco VPN», — пишуть дослідники.
«Потім зловмисник отримав права адміністратора, що дозволило йому ввійти в декілька систем, що сповістило нашу групу реагування на інциденти безпеки Cisco (CSIRT), яка згодом відреагувала на інцидент», — сказали вони.
Інструменти, які використовували зловмисники, включали LogMeIn і TeamViewer, а також образливі засоби безпеки, такі як Cobalt Strike, PowerSploit, Mimikatz і Impacket.
Хоча MFA вважається важливою позицією безпеки для організацій, він далеко не захищений від злому. Минулого місяця, Дослідники Microsoft розкрили масовий phishing кампанія, яка може викрасти облікові дані, навіть якщо користувач увімкнув багатофакторну автентифікацію (MFA), і наразі намагалася скомпрометувати понад 10,000 XNUMX організацій.
Cisco висвітлює своє реагування на інциденти
Згідно зі звітом Cisco Talos, у відповідь на атаку Cisco негайно запровадила скидання пароля для всієї компанії.
«Наші висновки та наступні заходи безпеки, отримані в результаті взаємодії з клієнтами, допомогли нам уповільнити та стримати прогрес зловмисника», — написали вони.
Потім компанія створила дві сигнатури Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 і Win.Backdoor.Kolobko-9950676-0) як запобіжний захід для лікування будь-яких можливих додаткових скомпрометованих активів. Clam AntiVirus Signatures (або ClamAV) — це крос-платформний набір інструментів для захисту від зловмисного програмного забезпечення, здатний виявляти різні шкідливі програми та віруси.
«Актори загроз зазвичай використовують методи соціальної інженерії для компрометації цілей, і, незважаючи на частоту таких атак, організації продовжують стикатися з проблемами пом’якшення цих загроз. Навчання користувачів має першорядне значення для придушення таких атак, зокрема переконання співробітників у тому, що вони знають законні способи зв’язку з користувачами, щоб співробітники могли виявити шахрайські спроби отримати конфіденційну інформацію», – пише Cisco Talos.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://threatpost.com/cisco-network-breach-google/180385/
- : має
- :є
- : ні
- :де
- $UP
- 000
- 10
- 50
- 700
- a
- здатність
- Здатний
- Приймає
- доступ
- За
- рахунки
- досягнутий
- актори
- Додатковий
- адміністративний
- після
- проти
- дозволено
- Дозволити
- Також
- an
- та
- антивірус
- будь-який
- ЕСТЬ
- ARM
- AS
- Активи
- At
- атака
- нападки
- спроба
- спробував
- Спроби
- автентифіковано
- Authentication
- закулісний
- буття
- обидва
- порушення
- Пробій
- браузер
- by
- званий
- покликання
- Кампанія
- CAN
- проблеми
- Chrome
- Cisco
- клієнт
- зазвичай
- компанія
- Компанії
- компроміс
- Компрометація
- Проведення
- вважається
- контакт
- містити
- продовжувати
- контроль
- Корпоративний
- створений
- Повноваження
- Крос-платформна
- суть
- клієнт
- розгортання
- розгортання
- Незважаючи на
- деталі
- виявляти
- певний
- пристрій
- прилади
- дезінфікувати
- Освіта
- зусилля
- або
- Співробітник
- співробітників
- включений
- дозволяє
- зобов'язань
- Машинобудування
- зарахований
- середовищах
- істотний
- Навіть
- Експлуатувати
- Face
- далеко
- втому
- результати
- для
- шахрайський
- частота
- від
- отримала
- гігант
- Google Chrome
- Group
- зламати
- зламаний
- злом
- було
- допоміг
- Високий
- основний момент
- Однак
- HTML
- HTTPS
- ідентифікувати
- if
- негайно
- реалізовані
- in
- інцидент
- реагування на інциденти
- включені
- У тому числі
- інформація
- INFOSEC
- початковий
- внутрішній
- дослідження
- IT
- ЙОГО
- Знати
- останній
- вести
- провідний
- законний
- левередж
- Логін
- logmein
- підтримувати
- Робить
- шкідливих програм
- макс-ширина
- Може..
- МЗС
- пом’якшення
- Mobile
- мобільний пристрій
- місяць
- більше
- багатофакторна аутентифікація
- багатофакторна аутентифікація
- множинний
- безліч
- мережу
- мережа
- Нові
- Інформаційний бюлетень
- Повідомлення
- горезвісний
- спостерігається
- отримувати
- отриманий
- of
- наступ
- or
- організації
- наші
- огляд
- власний
- Першорядний
- Пароль
- скидання пароля
- персонал
- Персонал
- phishing
- Насадження
- plato
- Інформація про дані Платона
- PlatoData
- володіння
- це можливо
- привілеї
- процес
- прогресія
- Штовхати
- вимагачів
- отримання
- повторний
- звітом
- запитів
- дослідження
- Дослідники
- відповідь
- в результаті
- Показали
- прогін
- Зазначений
- зберігаються
- говорить
- безпеку
- засоби безпеки
- відправка
- чутливий
- Серія
- Signatures
- Мовчання
- просто
- сповільнювати
- So
- так далеко
- соціальна
- Соціальна інженерія
- Софтвер
- зберігати
- удар
- наступні
- Згодом
- успішний
- Успішно
- такі
- підтримка
- Переконайтеся
- Systems
- талори
- цільове
- цілі
- команда
- техніка
- методи
- ніж
- Що
- Команда
- їх
- Їх
- потім
- вони
- ті
- загроза
- загрози
- Зв'язаний
- Зв'язку
- до
- Інструментарій
- інструменти
- два
- тип
- Зрештою
- до
- us
- використання
- використовуваний
- користувач
- користувачі
- використання
- утиліта
- різноманітність
- через
- Жертва
- віруси
- Голос
- обсяг
- VPN
- було
- способи
- середа
- були
- який
- ВООЗ
- волі
- виграти
- пише
- зефірнет