网络巨头表示,攻击者通过受损的谷歌账户获得了对员工 VPN 客户端的初始访问权限。
思科系统公司披露了 Yanluowang 勒索软件集团 XNUMX 月利用一名受感染员工的谷歌账户进行黑客攻击的细节。
这家网络巨头称这次攻击是“潜在的妥协” 在周三的帖子中 由公司自己的 Cisco Talos 威胁研究部门负责。
“在调查过程中,在攻击者控制了个人 Google 帐户后,一名思科员工的凭据被泄露,在该帐户中保存在受害者浏览器中的凭据正在同步,”思科 Talos 在详细的攻击分析中写道。
攻击的取证细节导致 Cisco Talos 研究人员将攻击归因于 Yanluowang 威胁组织,他们认为该组织与 UNC2447 和臭名昭著的 Lapsus$ 网络团伙都有联系。
最终,思科 Talos 表示,攻击者未能成功部署勒索软件恶意软件,但成功渗透其网络并植入一批攻击性黑客工具并进行内部网络侦察,“通常观察到导致在受害者环境中部署勒索软件”。
超越 MFA 进行 VPN 访问
黑客攻击的关键在于攻击者能够破坏目标员工的 Cisco VPN 实用程序并使用该 VPN 软件访问公司网络。
“对 Cisco VPN 的初始访问是通过成功入侵 Cisco 员工的个人 Google 帐户来实现的。 用户通过谷歌浏览器启用了密码同步,并将他们的思科凭证存储在他们的浏览器中,使该信息能够同步到他们的谷歌账户,”思科 Talos 写道。
拥有凭据后,攻击者随后使用多种技术绕过与 VPN 客户端相关的多因素身份验证。 努力包括语音网络钓鱼和一种称为 MFA 疲劳的攻击。 Cisco Talos 将 MFA 疲劳攻击技术描述为“向目标的移动设备发送大量推送请求直到用户接受的过程,无论是意外地还是只是试图使他们收到的重复推送通知静音。”
MFA 欺骗 针对思科员工的攻击最终成功,并允许攻击者作为目标思科员工运行 VPN 软件。 研究人员写道:“一旦攻击者获得初始访问权限,他们就会为 MFA 注册一系列新设备并成功通过 Cisco VPN 的身份验证。”
“攻击者随后升级为管理权限,允许他们登录多个系统,这提醒了我们的思科安全事件响应团队 (CSIRT),后者随后对事件做出了响应,”他们说。
攻击者使用的工具包括 LogMeIn 和 TeamViewer,以及 Cobalt Strike、PowerSploit、Mimikatz 和 Impacket 等攻击性安全工具。
虽然 MFA 被认为是组织的基本安全态势,但它远非防黑客攻击。 上个月, 微软研究人员发现 巨大的 钓鱼 即使用户启用了多因素身份验证 (MFA),也可能窃取凭据的活动,并且迄今为止已试图破坏 10,000 多个组织。
思科强调其事件响应
根据 Cisco Talos 的报告,为了应对攻击,思科立即实施了全公司范围的密码重置。
他们写道:“我们的发现和这些客户参与所产生的后续安全保护帮助我们减缓并遏制了攻击者的进展。”
然后,该公司创建了两个 Clam AntiVirus 签名(Win.Exploit.Kolobko-9950675-0 和 Win.Backdoor.Kolobko-9950676-0),作为对任何可能的额外受损资产进行消毒的预防措施。 Clam AntiVirus Signatures(或 ClamAV)是一个跨平台的反恶意软件工具包,能够检测各种恶意软件和病毒。
“威胁行为者通常使用社会工程技术来破坏目标,尽管此类攻击频繁发生,但组织继续面临减轻这些威胁的挑战。 用户教育对于阻止此类攻击至关重要,包括确保员工了解支持人员联系用户的合法方式,以便员工能够识别获取敏感信息的欺诈企图,”思科 Talos 写道。
