Мережевий гігант каже, що зловмисники отримали початковий доступ до VPN-клієнта співробітника через зламаний обліковий запис Google.
Cisco Systems розкрила подробиці травневого зламу групи програм-вимагачів Yanluowang, яка використала зламаний обліковий запис Google співробітника.
Мережевий гігант називає атаку «потенційним компромісом» у публікації в середу власним відділом дослідження загроз Cisco Talos компанії.
«Під час розслідування було встановлено, що облікові дані співробітника Cisco були скомпрометовані після того, як зловмисник отримав контроль над особистим обліковим записом Google, де синхронізувалися облікові дані, збережені в браузері жертви», — написав Cisco Talos у розгорнутому описі атаки.
Криміналістичні деталі атаки спонукають дослідників Cisco Talos приписати атаку групі загроз Yanluowang, яка, на їхню думку, має зв’язки як з UNC2447, так і з сумнозвісними кібербандами Lapsus$.
Зрештою, Cisco Talos заявила, що зловмисникам не вдалося розгорнути зловмисне програмне забезпечення-вимагач, однак вдалося проникнути в її мережу та розмістити групу агресивних інструментів злому та провести розвідку внутрішньої мережі, що «зазвичай спостерігалося, що призвело до розгортання програм-вимагачів у середовищах жертв».
Перехитрити MFA для доступу до VPN
Суть злому полягала в здатності зловмисників скомпрометувати утиліту Cisco VPN цільового працівника та отримати доступ до корпоративної мережі за допомогою цього програмного забезпечення VPN.
«Початковий доступ до Cisco VPN було отримано через успішну компрометацію особистого облікового запису Google співробітника Cisco. Користувач увімкнув синхронізацію паролів через Google Chrome і зберіг свої облікові дані Cisco у своєму браузері, дозволяючи цю інформацію синхронізувати з обліковим записом Google», – написав Cisco Talos.
Маючи облікові дані, зловмисники використовували безліч методів, щоб обійти багатофакторну автентифікацію, пов’язану з клієнтом VPN. Зусилля включали голосовий фішинг і тип атаки під назвою MFA fatigue. Cisco Talos описує техніку втомленої атаки MFA як «процес надсилання великої кількості push-запитів на цільовий мобільний пристрій, доки користувач не прийме їх випадково або просто для того, щоб спробувати заглушити повторні push-повідомлення, які вони отримують».
Команда Підробка MFA Атаки, застосовані проти співробітника Cisco, зрештою були успішними та дозволили зловмисникам запустити програмне забезпечення VPN як цільового співробітника Cisco. «Після того, як зловмисник отримав початковий доступ, він зареєстрував низку нових пристроїв для MFA та успішно пройшов автентифікацію в Cisco VPN», — пишуть дослідники.
«Потім зловмисник отримав права адміністратора, що дозволило йому ввійти в декілька систем, що сповістило нашу групу реагування на інциденти безпеки Cisco (CSIRT), яка згодом відреагувала на інцидент», — сказали вони.
Інструменти, які використовували зловмисники, включали LogMeIn і TeamViewer, а також образливі засоби безпеки, такі як Cobalt Strike, PowerSploit, Mimikatz і Impacket.
Хоча MFA вважається важливою позицією безпеки для організацій, він далеко не захищений від злому. Минулого місяця, Дослідники Microsoft розкрили масовий phishing кампанія, яка може викрасти облікові дані, навіть якщо користувач увімкнув багатофакторну автентифікацію (MFA), і наразі намагалася скомпрометувати понад 10,000 XNUMX організацій.
Cisco висвітлює своє реагування на інциденти
Згідно зі звітом Cisco Talos, у відповідь на атаку Cisco негайно запровадила скидання пароля для всієї компанії.
«Наші висновки та наступні заходи безпеки, отримані в результаті взаємодії з клієнтами, допомогли нам уповільнити та стримати прогрес зловмисника», — написали вони.
Потім компанія створила дві сигнатури Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 і Win.Backdoor.Kolobko-9950676-0) як запобіжний захід для лікування будь-яких можливих додаткових скомпрометованих активів. Clam AntiVirus Signatures (або ClamAV) — це крос-платформний набір інструментів для захисту від зловмисного програмного забезпечення, здатний виявляти різні шкідливі програми та віруси.
«Актори загроз зазвичай використовують методи соціальної інженерії для компрометації цілей, і, незважаючи на частоту таких атак, організації продовжують стикатися з проблемами пом’якшення цих загроз. Навчання користувачів має першорядне значення для придушення таких атак, зокрема переконання співробітників у тому, що вони знають законні способи зв’язку з користувачами, щоб співробітники могли виявити шахрайські спроби отримати конфіденційну інформацію», – пише Cisco Talos.
