Gã khổng lồ mạng cho biết những kẻ tấn công đã giành được quyền truy cập ban đầu vào ứng dụng khách VPN của nhân viên thông qua tài khoản Google bị xâm phạm.
Cisco Systems đã tiết lộ chi tiết về vụ tấn công vào tháng XNUMX của nhóm ransomware Yanluowang đã tận dụng tài khoản Google của một nhân viên bị xâm nhập.
Gã khổng lồ mạng đang gọi cuộc tấn công là một “sự thỏa hiệp tiềm tàng” trong một bài thứ tư bởi bộ phận nghiên cứu mối đe dọa Cisco Talos của chính công ty.
“Trong quá trình điều tra, chúng tôi xác định rằng thông tin đăng nhập của nhân viên Cisco đã bị xâm phạm sau khi kẻ tấn công giành quyền kiểm soát tài khoản Google cá nhân nơi thông tin đăng nhập được lưu trong trình duyệt của nạn nhân đang được đồng bộ hóa,” Cisco Talos viết trong bản phân tích dài về cuộc tấn công.
Các chi tiết pháp y của cuộc tấn công khiến các nhà nghiên cứu của Cisco Talos quy kết cuộc tấn công cho nhóm đe dọa Yanluowang mà họ cho rằng có mối quan hệ với cả UNC2447 và các băng nhóm mạng Lapsus$ khét tiếng.
Cuối cùng, Cisco Talos cho biết các đối thủ đã không thành công trong việc triển khai phần mềm độc hại ransomware, tuy nhiên đã thành công trong việc xâm nhập mạng của họ và cài đặt một loạt các công cụ tấn công và tiến hành trinh sát mạng nội bộ “thường được quan sát thấy dẫn đến việc triển khai ransomware trong môi trường nạn nhân.”
Vượt qua MFA để truy cập VPN
Điểm mấu chốt của vụ hack là khả năng kẻ tấn công xâm phạm tiện ích Cisco VPN của nhân viên mục tiêu và truy cập mạng công ty bằng phần mềm VPN đó.
“Quyền truy cập ban đầu vào VPN của Cisco đã đạt được thông qua việc thỏa hiệp thành công tài khoản Google cá nhân của nhân viên Cisco. Người dùng đã bật đồng bộ hóa mật khẩu qua Google Chrome và đã lưu trữ thông tin đăng nhập Cisco của họ trong trình duyệt của họ, cho phép thông tin đó đồng bộ hóa với tài khoản Google của họ,” Cisco Talos viết.
Với thông tin đăng nhập mà chúng sở hữu, những kẻ tấn công sau đó đã sử dụng vô số kỹ thuật để bỏ qua xác thực đa yếu tố gắn với máy khách VPN. Các nỗ lực bao gồm lừa đảo bằng giọng nói và một kiểu tấn công được gọi là mệt mỏi MFA. Cisco Talos mô tả kỹ thuật tấn công mệt mỏi MFA là “quá trình gửi một lượng lớn yêu cầu đẩy đến thiết bị di động của mục tiêu cho đến khi người dùng chấp nhận, vô tình hoặc đơn giản là cố gắng tắt tiếng các thông báo đẩy lặp đi lặp lại mà họ đang nhận được.”
Sản phẩm giả mạo MFA các cuộc tấn công nhằm vào nhân viên của Cisco cuối cùng đã thành công và cho phép những kẻ tấn công chạy phần mềm VPN với tư cách là nhân viên của Cisco được nhắm mục tiêu. Các nhà nghiên cứu đã viết: “Sau khi kẻ tấn công có được quyền truy cập ban đầu, chúng đã đăng ký một loạt thiết bị mới cho MFA và xác thực thành công với VPN của Cisco”.
Họ cho biết: “Kẻ tấn công sau đó đã leo thang đến các đặc quyền quản trị, cho phép chúng đăng nhập vào nhiều hệ thống, điều này đã cảnh báo cho Nhóm ứng phó sự cố bảo mật của Cisco (CSIRT) của chúng tôi, những người sau đó đã ứng phó với vụ việc”.
Các công cụ được kẻ tấn công sử dụng bao gồm LogMeIn và TeamViewer cũng như các công cụ bảo mật tấn công như Cobalt Strike, PowerSploit, Mimikatz và Impacket.
Mặc dù MFA được coi là một tư thế bảo mật thiết yếu cho các tổ chức, nhưng nó còn lâu mới có khả năng chống hack. Tháng trước, Các nhà nghiên cứu của Microsoft đã phát hiện ra khổng lồ Lừa đảo chiến dịch có thể lấy cắp thông tin đăng nhập ngay cả khi người dùng đã bật xác thực đa yếu tố (MFA) và cho đến nay đã cố gắng xâm nhập hơn 10,000 tổ chức.
Cisco nêu bật ứng phó sự cố của mình
Để đối phó với cuộc tấn công, Cisco đã ngay lập tức triển khai thiết lập lại mật khẩu trên toàn công ty, theo báo cáo của Cisco Talos.
Họ viết: “Những phát hiện của chúng tôi và các biện pháp bảo vệ an ninh tiếp theo từ những tương tác của khách hàng đó đã giúp chúng tôi làm chậm và ngăn chặn sự tiến triển của kẻ tấn công.
Sau đó, công ty đã tạo hai chữ ký Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 và Win.Backdoor.Kolobko-9950676-0) như một biện pháp phòng ngừa để khử trùng mọi tài sản bổ sung có thể bị xâm phạm. Clam AntiVirus Signatures (hoặc ClamAV) là bộ công cụ chống phần mềm độc hại đa nền tảng có thể phát hiện nhiều loại phần mềm độc hại và vi rút.
“Các tác nhân đe dọa thường sử dụng các kỹ thuật tấn công mạng xã hội để xâm phạm các mục tiêu và bất chấp tần suất của các cuộc tấn công như vậy, các tổ chức vẫn tiếp tục đối mặt với những thách thức trong việc giảm thiểu các mối đe dọa đó. Giáo dục người dùng là điều tối quan trọng trong việc ngăn chặn các cuộc tấn công như vậy, bao gồm đảm bảo nhân viên biết những cách hợp pháp mà nhân viên hỗ trợ sẽ liên hệ với người dùng để nhân viên có thể xác định các nỗ lực lừa đảo nhằm lấy thông tin nhạy cảm,” Cisco Talos viết.
