سسکو نے ملازم کے ہیک شدہ گوگل اکاؤنٹ کے ذریعے نیٹ ورک کی خلاف ورزی کی تصدیق کی۔

ٹائم سٹیمپ: 11 اگست 2022 8:51 AM
ماخذ نوڈ: 1617202

نیٹ ورکنگ دیو کا کہنا ہے کہ حملہ آوروں نے ایک سمجھوتہ شدہ گوگل اکاؤنٹ کے ذریعے ملازم کے وی پی این کلائنٹ تک ابتدائی رسائی حاصل کی۔

Cisco Systems نے Yanluowang ransomware گروپ کے مئی کے ایک ہیک کی تفصیلات کا انکشاف کیا جس نے سمجھوتہ کرنے والے ملازم کے گوگل اکاؤنٹ کا فائدہ اٹھایا۔

نیٹ ورکنگ کمپنی اس حملے کو "ممکنہ سمجھوتہ" قرار دے رہی ہے۔ بدھ کی پوسٹ میں کمپنی کے اپنے سسکو Talos خطرے کی تحقیق بازو کی طرف سے.

"تحقیقات کے دوران، یہ طے پایا کہ ایک حملہ آور کے ذاتی گوگل اکاؤنٹ پر کنٹرول حاصل کرنے کے بعد سسکو کے ملازم کی اسناد سے سمجھوتہ کیا گیا تھا جہاں متاثرہ کے براؤزر میں محفوظ کردہ اسناد کو ہم آہنگ کیا جا رہا تھا،" سسکو ٹالوس نے حملے کی ایک طویل بریک ڈاؤن میں لکھا۔

Infosec اندرونی نیوز لیٹر

حملے کی فرانزک تفصیلات سسکو ٹالوس کے محققین کو حملے کا ذمہ دار یانلووانگ کے خطرے والے گروپ سے منسوب کرنے کی رہنمائی کرتی ہیں، جسے وہ برقرار رکھتے ہیں کہ UNC2447 اور بدنام زمانہ Lapsus$ cybergangs دونوں سے تعلقات رکھتے ہیں۔

بالآخر، Cisco Talos نے کہا کہ مخالفین ransomware مالویئر کو تعینات کرنے میں کامیاب نہیں ہوئے، تاہم اس کے نیٹ ورک میں گھسنے اور جارحانہ ہیکنگ ٹولز کا ایک کیڈر لگانے اور اندرونی نیٹ ورک کی جاسوسی کرنے میں کامیاب رہے "عام طور پر شکار کے ماحول میں ransomware کی تعیناتی کا باعث بنتا ہے۔"

VPN رسائی کے لیے MFA کو آؤٹ سمارٹ کرنا

ہیک کی اصل وجہ حملہ آوروں کی یہ صلاحیت تھی کہ وہ ہدف شدہ ملازم کی سسکو وی پی این یوٹیلیٹی سے سمجھوتہ کر سکے اور اس وی پی این سافٹ ویئر کا استعمال کرتے ہوئے کارپوریٹ نیٹ ورک تک رسائی حاصل کر سکے۔

"Cisco VPN تک ابتدائی رسائی سسکو کے ملازم کے ذاتی گوگل اکاؤنٹ کے کامیاب سمجھوتہ کے ذریعے حاصل کی گئی۔ صارف نے گوگل کروم کے ذریعے پاس ورڈ کی مطابقت پذیری کو فعال کیا تھا اور اس نے اپنے سسکو اسناد کو اپنے براؤزر میں محفوظ کر لیا تھا، جس سے اس معلومات کو اپنے گوگل اکاؤنٹ سے ہم آہنگ کیا جا سکتا تھا،" سسکو ٹالوس نے لکھا۔

ان کے پاس اسناد کے ساتھ، حملہ آوروں نے پھر VPN کلائنٹ سے منسلک ملٹی فیکٹر تصدیق کو نظرانداز کرنے کے لیے بہت سی تکنیکوں کا استعمال کیا۔ کوششوں میں صوتی فشنگ اور ایک قسم کا حملہ شامل تھا جسے MFA تھکاوٹ کہا جاتا ہے۔ Cisco Talos MFA تھکاوٹ کے حملے کی تکنیک کو "ٹارگٹ کے موبائل ڈیوائس پر پش درخواستوں کی ایک بڑی مقدار بھیجنے کا عمل اس وقت تک بیان کرتا ہے جب تک کہ صارف اسے قبول نہ کر لے، یا تو اتفاقی طور پر یا محض ان بار بار پش اطلاعات کو خاموش کرنے کی کوشش کرنا جو اسے موصول ہو رہی ہیں۔"

۔ ایم ایف اے کی جعل سازی Cisco کے ملازم کے خلاف حملے بالآخر کامیابی کے ساتھ ہوئے اور حملہ آوروں کو VPN سافٹ ویئر کو سسکو ملازم کے طور پر چلانے کی اجازت دی۔ محققین نے لکھا، "ایک بار جب حملہ آور نے ابتدائی رسائی حاصل کر لی، تو انہوں نے MFA کے لیے نئے آلات کی ایک سیریز کا اندراج کیا اور سسکو VPN میں کامیابی کے ساتھ تصدیق کر لی،" محققین نے لکھا۔

انہوں نے کہا، "حملہ آور پھر انتظامی مراعات کی طرف بڑھ گیا، جس سے وہ متعدد سسٹمز میں لاگ ان ہو گئے، جس نے ہماری سسکو سیکیورٹی انسیڈینٹ ریسپانس ٹیم (CSIRT) کو الرٹ کیا، جس نے بعد میں اس واقعے پر ردعمل ظاہر کیا۔"

حملہ آوروں کے ذریعے استعمال ہونے والے ٹولز میں LogMeIn اور TeamViewer اور جارحانہ حفاظتی ٹولز جیسے Cobalt Strike، PowerSploit، Mimikatz اور Impacket شامل تھے۔

اگرچہ MFA کو تنظیموں کے لیے ایک ضروری حفاظتی کرنسی سمجھا جاتا ہے، لیکن یہ ہیک پروف سے بہت دور ہے۔ پچھلے مہینے، مائیکرو سافٹ کے محققین نے انکشاف کیا۔ ایک بڑے پیمانے پر فشنگ وہ مہم جو اسناد چوری کر سکتی ہے یہاں تک کہ اگر کسی صارف کے پاس ملٹی فیکٹر توثیق (MFA) فعال ہو اور اس نے اب تک 10,000 سے زیادہ تنظیموں سے سمجھوتہ کرنے کی کوشش کی ہو۔

سسکو نے اپنے واقعے کے ردعمل کو نمایاں کیا۔

سسکو ٹالوس کی رپورٹ کے مطابق، حملے کے جواب میں، سسکو نے فوری طور پر کمپنی بھر میں پاس ورڈ ری سیٹ کو نافذ کیا۔

انہوں نے لکھا، "ہماری تلاشوں اور ان گاہک کی مصروفیات کے نتیجے میں آنے والے حفاظتی تحفظات نے حملہ آور کی پیشرفت کو سست کرنے اور اس پر قابو پانے میں ہماری مدد کی۔"

اس کے بعد کمپنی نے دو Clam AntiVirus دستخط (Win.Exploit.Kolobko-9950675-0 اور Win.Backdoor.Kolobko-9950676-0) کسی بھی ممکنہ اضافی سمجھوتہ شدہ اثاثوں کو جراثیم سے پاک کرنے کے لیے احتیاط کے طور پر بنائے۔ Clam AntiVirus Signatures (یا ClamAV) ایک کراس پلیٹ فارم اینٹی میل ویئر ٹول کٹ ہے جو مختلف قسم کے میلویئر اور وائرس کا پتہ لگانے کے قابل ہے۔

"دھمکی دینے والے اداکار اہداف سے سمجھوتہ کرنے کے لیے عام طور پر سوشل انجینئرنگ کی تکنیکوں کا استعمال کرتے ہیں، اور اس طرح کے حملوں کی تعدد کے باوجود، تنظیموں کو ان خطرات کو کم کرنے کے لیے چیلنجوں کا سامنا کرنا پڑتا ہے۔ اس طرح کے حملوں کو ناکام بنانے میں صارف کی تعلیم سب سے اہم ہے، بشمول اس بات کو یقینی بنانا کہ ملازمین کو جائز طریقے معلوم ہوں جن سے معاون اہلکار صارفین سے رابطہ کریں گے تاکہ ملازمین حساس معلومات حاصل کرنے کی دھوکہ دہی کی کوششوں کی نشاندہی کر سکیں،" سسکو ٹالوس نے لکھا۔

ٹائم اسٹیمپ:

سے زیادہ نقل