Gã khổng lồ mạng cho biết những kẻ tấn công đã giành được quyền truy cập ban đầu vào ứng dụng khách VPN của nhân viên thông qua tài khoản Google bị xâm phạm.
Cisco Systems đã tiết lộ chi tiết về vụ tấn công vào tháng XNUMX của nhóm ransomware Yanluowang đã tận dụng tài khoản Google của một nhân viên bị xâm nhập.
Gã khổng lồ mạng đang gọi cuộc tấn công là một “sự thỏa hiệp tiềm tàng” trong một bài thứ tư bởi bộ phận nghiên cứu mối đe dọa Cisco Talos của chính công ty.
“Trong quá trình điều tra, chúng tôi xác định rằng thông tin đăng nhập của nhân viên Cisco đã bị xâm phạm sau khi kẻ tấn công giành quyền kiểm soát tài khoản Google cá nhân nơi thông tin đăng nhập được lưu trong trình duyệt của nạn nhân đang được đồng bộ hóa,” Cisco Talos viết trong bản phân tích dài về cuộc tấn công.
Các chi tiết pháp y của cuộc tấn công khiến các nhà nghiên cứu của Cisco Talos quy kết cuộc tấn công cho nhóm đe dọa Yanluowang mà họ cho rằng có mối quan hệ với cả UNC2447 và các băng nhóm mạng Lapsus$ khét tiếng.
Cuối cùng, Cisco Talos cho biết các đối thủ đã không thành công trong việc triển khai phần mềm độc hại ransomware, tuy nhiên đã thành công trong việc xâm nhập mạng của họ và cài đặt một loạt các công cụ tấn công và tiến hành trinh sát mạng nội bộ “thường được quan sát thấy dẫn đến việc triển khai ransomware trong môi trường nạn nhân.”
Vượt qua MFA để truy cập VPN
Điểm mấu chốt của vụ hack là khả năng kẻ tấn công xâm phạm tiện ích Cisco VPN của nhân viên mục tiêu và truy cập mạng công ty bằng phần mềm VPN đó.
“Quyền truy cập ban đầu vào VPN của Cisco đã đạt được thông qua việc thỏa hiệp thành công tài khoản Google cá nhân của nhân viên Cisco. Người dùng đã bật đồng bộ hóa mật khẩu qua Google Chrome và đã lưu trữ thông tin đăng nhập Cisco của họ trong trình duyệt của họ, cho phép thông tin đó đồng bộ hóa với tài khoản Google của họ,” Cisco Talos viết.
Với thông tin đăng nhập mà chúng sở hữu, những kẻ tấn công sau đó đã sử dụng vô số kỹ thuật để bỏ qua xác thực đa yếu tố gắn với máy khách VPN. Các nỗ lực bao gồm lừa đảo bằng giọng nói và một kiểu tấn công được gọi là mệt mỏi MFA. Cisco Talos mô tả kỹ thuật tấn công mệt mỏi MFA là “quá trình gửi một lượng lớn yêu cầu đẩy đến thiết bị di động của mục tiêu cho đến khi người dùng chấp nhận, vô tình hoặc đơn giản là cố gắng tắt tiếng các thông báo đẩy lặp đi lặp lại mà họ đang nhận được.”
Sản phẩm giả mạo MFA các cuộc tấn công nhằm vào nhân viên của Cisco cuối cùng đã thành công và cho phép những kẻ tấn công chạy phần mềm VPN với tư cách là nhân viên của Cisco được nhắm mục tiêu. Các nhà nghiên cứu đã viết: “Sau khi kẻ tấn công có được quyền truy cập ban đầu, chúng đã đăng ký một loạt thiết bị mới cho MFA và xác thực thành công với VPN của Cisco”.
Họ cho biết: “Kẻ tấn công sau đó đã leo thang đến các đặc quyền quản trị, cho phép chúng đăng nhập vào nhiều hệ thống, điều này đã cảnh báo cho Nhóm ứng phó sự cố bảo mật của Cisco (CSIRT) của chúng tôi, những người sau đó đã ứng phó với vụ việc”.
Các công cụ được kẻ tấn công sử dụng bao gồm LogMeIn và TeamViewer cũng như các công cụ bảo mật tấn công như Cobalt Strike, PowerSploit, Mimikatz và Impacket.
Mặc dù MFA được coi là một tư thế bảo mật thiết yếu cho các tổ chức, nhưng nó còn lâu mới có khả năng chống hack. Tháng trước, Các nhà nghiên cứu của Microsoft đã phát hiện ra khổng lồ Lừa đảo chiến dịch có thể lấy cắp thông tin đăng nhập ngay cả khi người dùng đã bật xác thực đa yếu tố (MFA) và cho đến nay đã cố gắng xâm nhập hơn 10,000 tổ chức.
Cisco nêu bật ứng phó sự cố của mình
Để đối phó với cuộc tấn công, Cisco đã ngay lập tức triển khai thiết lập lại mật khẩu trên toàn công ty, theo báo cáo của Cisco Talos.
Họ viết: “Những phát hiện của chúng tôi và các biện pháp bảo vệ an ninh tiếp theo từ những tương tác của khách hàng đó đã giúp chúng tôi làm chậm và ngăn chặn sự tiến triển của kẻ tấn công.
Sau đó, công ty đã tạo hai chữ ký Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 và Win.Backdoor.Kolobko-9950676-0) như một biện pháp phòng ngừa để khử trùng mọi tài sản bổ sung có thể bị xâm phạm. Clam AntiVirus Signatures (hoặc ClamAV) là bộ công cụ chống phần mềm độc hại đa nền tảng có thể phát hiện nhiều loại phần mềm độc hại và vi rút.
“Các tác nhân đe dọa thường sử dụng các kỹ thuật tấn công mạng xã hội để xâm phạm các mục tiêu và bất chấp tần suất của các cuộc tấn công như vậy, các tổ chức vẫn tiếp tục đối mặt với những thách thức trong việc giảm thiểu các mối đe dọa đó. Giáo dục người dùng là điều tối quan trọng trong việc ngăn chặn các cuộc tấn công như vậy, bao gồm đảm bảo nhân viên biết những cách hợp pháp mà nhân viên hỗ trợ sẽ liên hệ với người dùng để nhân viên có thể xác định các nỗ lực lừa đảo nhằm lấy thông tin nhạy cảm,” Cisco Talos viết.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://threatpost.com/cisco-network-breach-google/180385/
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 000
- 10
- 50
- 700
- a
- có khả năng
- Có khả năng
- Chấp nhận
- truy cập
- Theo
- Tài khoản
- đạt được
- diễn viên
- thêm vào
- hành chính
- Sau
- chống lại
- cho phép
- Cho phép
- Ngoài ra
- an
- và
- antivirus
- bất kì
- LÀ
- ARM
- AS
- Tài sản
- At
- tấn công
- Các cuộc tấn công
- nỗ lực
- đã cố gắng
- Nỗ lực
- chứng thực
- Xác thực
- cửa sau
- được
- cả hai
- vi phạm
- Breakdown
- trình duyệt
- by
- gọi là
- gọi
- Chiến dịch
- CAN
- thách thức
- cơ rôm
- Cisco
- khách hàng
- thông thường
- công ty
- Của công ty
- thỏa hiệp
- Thỏa hiệp
- Tiến hành
- xem xét
- liên lạc
- chứa
- tiếp tục
- điều khiển
- Doanh nghiệp
- tạo ra
- Credentials
- nền tảng
- điểm then chốt
- khách hàng
- triển khai
- triển khai
- Mặc dù
- chi tiết
- phát hiện
- xác định
- thiết bị
- Thiết bị (Devices)
- khử trùng
- Đào tạo
- những nỗ lực
- hay
- Công nhân
- nhân viên
- kích hoạt
- cho phép
- cam kết
- Kỹ Sư
- ghi danh
- môi trường
- thiết yếu
- Ngay cả
- Khai thác
- Đối mặt
- xa
- mệt mỏi
- phát hiện
- Trong
- lừa đảo
- tần số
- từ
- đạt được
- khổng lồ
- Google Chrome
- Nhóm
- tấn
- hack
- hack
- có
- đã giúp
- Cao
- nổi bật
- Tuy nhiên
- HTML
- HTTPS
- xác định
- if
- ngay
- thực hiện
- in
- sự cố
- ứng phó sự cố
- bao gồm
- Bao gồm
- thông tin
- thông tin
- ban đầu
- nội bộ
- điều tra
- IT
- ITS
- Biết
- Họ
- dẫn
- hàng đầu
- hợp pháp
- tận dụng
- đăng nhập
- LogMeIn
- duy trì
- Làm
- phần mềm độc hại
- max-width
- Có thể..
- MFA
- giảm nhẹ
- di động
- thiết bị di động
- tháng
- chi tiết
- xác thực nhiều yếu tố
- xác thực đa yếu tố
- nhiều
- nhiều
- mạng
- mạng lưới
- Mới
- Đăng ký bản tin
- thông báo
- khét tiếng
- quan sát
- được
- thu được
- of
- phản cảm
- or
- tổ chức
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- tổng quan
- riêng
- Paramount
- Mật khẩu
- đặt lại mật khẩu
- riêng
- Nhân viên
- Lừa đảo
- Trồng cây
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- chiếm hữu
- có thể
- đặc quyền
- quá trình
- tiến triển
- Đẩy
- ransomware
- nhận
- lặp đi lặp lại
- báo cáo
- yêu cầu
- nghiên cứu
- nhà nghiên cứu
- phản ứng
- kết quả
- Tiết lộ
- chạy
- Nói
- lưu
- nói
- an ninh
- công cụ bảo mật
- gửi
- nhạy cảm
- Loạt Sách
- Chữ ký
- Sự im lặng
- đơn giản
- chậm
- So
- cho đến nay
- Mạng xã hội
- Kỹ thuật xã hội
- Phần mềm
- lưu trữ
- đình công
- tiếp theo
- Sau đó
- thành công
- Thành công
- như vậy
- hỗ trợ
- chắc chắn
- hệ thống
- talos
- nhắm mục tiêu
- mục tiêu
- nhóm
- kỹ thuật
- kỹ thuật
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- họ
- những
- mối đe dọa
- các mối đe dọa
- Bị ràng buộc
- Ties
- đến
- bộ công cụ
- công cụ
- hai
- kiểu
- Cuối cùng
- cho đến khi
- us
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- tiện ích
- nhiều
- thông qua
- nạn nhân
- virus
- Giọng nói
- khối lượng
- VPN
- là
- cách
- Thứ Tư
- là
- cái nào
- CHÚNG TÔI LÀ
- sẽ
- giành chiến thắng
- đã viết
- zephyrnet