思科公司的Talos威脅情報團(tuán)隊(duì)發(fā)布了一份8110線路列表,顯示了受到攻擊的文件夾名稱和可能泄露的文件。
但該團(tuán)隊(duì)聲稱,這一漏洞只導(dǎo)致無關(guān)緊要的數(shù)據(jù)外泄,并導(dǎo)致網(wǎng)絡(luò)攻擊者從思科系統(tǒng)和公司網(wǎng)絡(luò)中啟動。分析師指出,他們反復(fù)嘗試重新侵入,盡管使用了各種先進(jìn)技術(shù),但他們還是沒有取得最初的成功。
發(fā)生了什么?
Talos威脅情報團(tuán)隊(duì)分析師聲稱,網(wǎng)絡(luò)攻擊者首先控制了思科公司一名員工的個人Google賬戶。
他們解釋說,“這名員工通過谷歌瀏覽器啟用了密碼同步,并將其思科憑據(jù)存儲在瀏覽器中,從而使該信息能夠同步到自己的谷歌賬戶。在獲得這名員工的憑據(jù)后,網(wǎng)絡(luò)攻擊者試圖使用多種技術(shù)繞過多因素身份驗(yàn)證(MFA),其中包括語音網(wǎng)絡(luò)釣魚,即向目標(biāo)移動設(shè)備發(fā)送大量推送請求的過程直到用戶接受。一旦攻擊者獲得初始訪問權(quán)限,他們就會為MFA注冊一系列新設(shè)備,并成功通過Cisco VPN的身份驗(yàn)證。”
網(wǎng)絡(luò)攻擊者采取的措施:
•將網(wǎng)絡(luò)攻擊者的權(quán)限提升為“管理員”,允許他們登錄到各種系統(tǒng)(思科安全的IT團(tuán)隊(duì)在此時發(fā)現(xiàn)有問題)。
•刪除遠(yuǎn)程訪問和攻擊性安全工具。
•添加后門賬戶和持久化機(jī)制。
該團(tuán)隊(duì)解釋說:“在最初訪問環(huán)境后,威脅參與者采取各種措施,以維護(hù)訪問權(quán)限、最大限度地減少取證,并提高他們對環(huán)境中系統(tǒng)的訪問級別。網(wǎng)絡(luò)攻擊者設(shè)法破壞了一系列Citrix服務(wù)器,并最終獲得了對域控制器的特權(quán)訪問。”
他們追蹤憑據(jù)數(shù)據(jù)庫、注冊表信息和包含憑據(jù)的內(nèi)存,刪除創(chuàng)建的帳戶,并清除系統(tǒng)日志以掩蓋他們的蹤跡,更改基于主機(jī)的防火墻配置以啟用RDP訪問系統(tǒng),并試圖竊取內(nèi)部信息。
事實(shí)證明,他們只設(shè)法從Active Directory中竊取了與受感染員工帳戶和員工身份驗(yàn)證數(shù)據(jù)相關(guān)聯(lián)的Box文件夾的內(nèi)容。
思科公司聲稱,“該事件包含在企業(yè)IT環(huán)境中,思科公司沒有發(fā)現(xiàn)對任何思科產(chǎn)品或服務(wù)、敏感的客戶數(shù)據(jù)或員工信息、思科知識產(chǎn)權(quán)或供應(yīng)鏈運(yùn)營有任何影響。”
這些網(wǎng)絡(luò)攻擊者在被啟動之前沒有設(shè)法部署勒索軟件,但他們?nèi)匀辉噲D從思科公司勒索贖金,以換取被盜數(shù)據(jù)不對外泄露。
可以吸取的教訓(xùn)
思科公司于2022年5月24日首次注意到正在進(jìn)行的網(wǎng)絡(luò)攻擊,但沒有透露在此之前這一攻擊持續(xù)了多長時間。
思科Talos團(tuán)隊(duì)詳細(xì)介紹了網(wǎng)絡(luò)攻擊者獲取訪問權(quán)限,以及他們在思科企業(yè)網(wǎng)絡(luò)中所采取的措施,以及將他們從網(wǎng)絡(luò)中移除后重新進(jìn)入的嘗試,并分享了入侵跡象,以幫助其他企業(yè)防御者和事件響應(yīng)者。
分析師指出,“根據(jù)獲得的工件、識別的戰(zhàn)術(shù)、技術(shù)和程序(TTP)、使用的基礎(chǔ)設(shè)施以及對這次攻擊中使用的后門的徹底分析,我們以中等到高度的信心評估這次攻擊是由具有之前被確定的與UNC2447和Lapsus$有關(guān)的初始訪問代理(IAB)。
我們還觀察到之前的活動將這個威脅行為者與Yanluowang勒索軟件團(tuán)伙聯(lián)系起來,包括使用Yanluowang數(shù)據(jù)泄露網(wǎng)站發(fā)布從受害企業(yè)竊取的數(shù)據(jù)。”
思科公司發(fā)布的披露和詳細(xì)報告獲得了許多網(wǎng)絡(luò)安全專家的好評,并強(qiáng)調(diào)了一些已知的安全機(jī)制弱點(diǎn)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。