2022年8月10日,思科證實,Yanluowang勒索軟件集團在今年5月下旬入侵了公司網絡,攻擊者試圖以泄露被盜數據威脅索要贖金。
對此,思科發言人表示,攻擊者只能從與受感染員工帳戶相關聯的 Box 文件夾中獲取和竊取非敏感數據,聲稱公司及時採取了相應行動進行遏制。「思科未發現此事件對我們的業務造成任何影響,包括思科產品或服務、敏感的客戶數據或敏感的員工信息、知識產權或供應鏈運營。8 月 10 日,攻擊者將此次安全事件中的文件列表發布到了暗網。但思科採取了額外措施來保護系統,並分享技術細節以幫助保護更廣泛的安全社區。」
用於破壞思科網絡的被盜員工憑證Yanluowang 攻擊者在劫持員工的個人 Google 帳戶(包含從其瀏覽器同步的憑據)後,使用員工被盜的憑據獲得了對思科網絡的訪問權限。隨後,攻擊者多因素身份驗證 (MFA) 推送說服員工接受該通知,並假冒受信任的支持組織發起了一系列複雜的語音網絡釣魚攻擊。
最終,攻擊者者誘騙受害者接受其中一個 MFA 通知,並在目標用戶的上下文中獲得了對 VPN 的訪問權限。一旦他們在公司的企業網絡上站穩腳跟,Yanluowang運營商隨即橫向擴展到思科服務器和域控制器。
在獲得域管理員權限後,他們使用 ntdsutil、adfind 和 secretsdump 等枚舉工具收集更多信息,並將一系列有效負載安裝到受感染的系統上,其中就包括後門。
在獲得初始訪問權限後,攻擊者進行了各種活動來維護訪問權限,最大限度地減少取證,並提高他們對環境中系統的訪問級別。雖然思科檢測到了該攻擊行為並將其驅逐出環境,但在未來的幾周內,Yanluowang依舊嘗試重新獲得訪問權限,均未成功。
黑客聲稱從思科竊取數據雖然思科一再強調,Yanluowang勒索組織在攻擊期間沒有在其網絡上部署任何勒索軟件。
Talos 專家在報告中指出,「我們沒有在這次攻擊中觀察到勒索軟件的部署,但使用的 TTP 與「勒索軟件前活動」一致,這是在受害者環境中部署勒索軟件之前通常觀察到的活動。觀察到的許多 TTP 與 CTIR 在之前的交戰中觀察到的活動是一致的。我們的分析還建議重用與這些先前參與相關的服務器端基礎設施。在之前的活動中,我們也沒有觀察到勒索軟件在受害者環境中的部署。」
但攻擊者聲稱已經從竊取了2.75GB數據,大約有3100個文件,其中很多文件涉及保密協議、數據轉儲和工程圖紙。此外,攻擊者還公布了一份在攻擊中被盜的經過編輯的 NDA 文件,作為攻擊的證據,並「暗示」他們破壞了思科的網絡並泄露了文件。
參考來源https://www.bleepingcomputer.com/news/security/cisco-hacked-by-yanluowang-ransomware-gang-28gb-allegedly-stolen/
留言列表
留言列表