思科公司最近透露了5月份 Yanluowang勒索软件集团的黑客攻击的相关细节,该攻击其实是利用了一个被窃取的员工的谷歌账户。
这家网络巨头在该公司自己的Cisco Talos威胁研究部门周三的一篇文章中称这次攻击是 "潜在的妥协"。
Cisco Talos在一份关于这次攻击的长篇分析中写道,在调查过程中,我们发现一名思科员工的凭证在攻击者获得对谷歌个人账户的控制后被泄露,而受害者浏览器中保存的凭证也正在被同步至其他终端。
攻击的具体细节使得思科塔洛斯的研究人员将这次攻击归咎于Yanluowang威胁集团,他们认为该集团与UNC2447以及臭名昭著的Lapsus$网络组织都有联系。
最终,Cisco Talos表示,攻击者并没有成功部署勒索恶意软件,但却成功地渗透了其网络内部,植入了一批具有进攻性的黑客工具,并进行了内部网络侦察,这是在受害者环境中部署勒索软件之前最常见的现象。
通过VPN访问MFA
黑客进行攻击的关键是能够获得目标员工的思科VPN工具的使用权限,并使用该VPN软件访问公司的网络。
对思科VPN的最初访问是通过入侵一名思科员工的个人谷歌账户实现的。该用户通过谷歌浏览器启用了密码同步功能,并在浏览器中存储了他们所使用的思科凭证,使这些信息能够同步到他们的谷歌账户。
攻击者掌握了这些凭证后,使用多种技术绕过了与VPN客户端绑定有关的多因素认证。这些攻击行为包括使用语音钓鱼和一种叫做MFA欺骗的攻击。思科Talos将MFA欺骗攻击技术描述为 "向目标的移动设备发送大量的推送请求,直到用户接受某一个请求。无论目标用户是意外还是仅仅是为了试图让他们的移动设备保持沉默。"
研究人员写道,针对思科员工利用的MFA欺骗攻击获得成功,并最终允许攻击者以目标员工的身份运行VPN软件。一旦攻击者获得了软件的初始访问权,他们就会为MFA注册一系列新的设备,并成功认证思科VPN。
他们说,攻击者随后会将权限升级到管理权限,允许他们登录多个系统,这也提醒了我们的思科安全事件响应小组(CSIRT),他们随后对该事件做出了回应。
攻击者使用的工具包括LogMeIn和TeamViewer,还有进攻性安全工具,如Cobalt Strike、PowerSploit、Mimikatz和Impacket。
虽然MFA被认为是企业的一个基本安全态势,但它还远不是防止黑客的最有效的防线。上个月,微软的研究人员发现了一个大规模的网络钓鱼活动,即使用户启用了多因素认证(MFA),也可以窃取凭证,迄今为止,已经有超过10,000个组织被攻击者试图进行入侵。
思科强调该事件的应急响应措施
根据Cisco Talos的报告,为了应对这次的攻击,思科立即在全公司范围内进行了密码重置。
他们写道,我们的发现和随后由这些客户提供的安全保护措施帮助我们减缓和遏制了攻击者的攻击进展。
该公司随后创建了两个Clam AntiVirus签名(Win.Exploit.Kolobko-9950675-0和Win.Backdoor.Kolobko-9950676-0)作为预防措施,对任何有可能受影响的资产进行了杀毒。Clam AntiVirus Signatures(或ClamAV)是一个跨平台的反恶意软件工具包,能够检测各种恶意软件和病毒。
Cisco Talos写道,威胁者通常使用社会工程学技术来破坏目标,这种攻击很频繁,组织面临着减轻这些威胁的重大挑战。用户的安全教育对于防止此类的攻击至关重要,确保员工知道支持人员与用户联系的方式,方便员工能够识别此类获取敏感信息的欺诈行为。
本文翻译自:https://threatpost.com/cisco-network-breach-google/180385/如若转载,请注明原文地址。