思科遭遇勒索软件团伙的攻击

思科遭遇勒索软件团伙的攻击-51CTO.COM

据外媒报道，美国网络巨头思科系统公司日前证实遭到黑客攻击，一个名称为Yanluowang的勒索软件运营商声称对其网络进行了攻击。

思科公司的Talos威胁情报团队发布了一份8110线路列表，显示了受到攻击的文件夹名称和可能泄露的文件。

但该团队声称，这一漏洞只导致无关紧要的数据外泄，并导致网络攻击者从思科系统和公司网络中启动。分析师指出，他们反复尝试重新侵入，尽管使用了各种先进技术，但他们还是没有取得最初的成功。

发生了什么?

Talos威胁情报团队分析师声称，网络攻击者首先控制了思科公司一名员工的个人Google账户。

他们解释说，“这名员工通过谷歌浏览器启用了密码同步，并将其思科凭据存储在浏览器中，从而使该信息能够同步到自己的谷歌账户。在获得这名员工的凭据后，网络攻击者试图使用多种技术绕过多因素身份验证(MFA)，其中包括语音网络钓鱼，即向目标移动设备发送大量推送请求的过程直到用户接受。一旦攻击者获得初始访问权限，他们就会为MFA注册一系列新设备，并成功通过Cisco VPN的身份验证。”

网络攻击者采取的措施：

• 将网络攻击者的权限提升为“管理员”，允许他们登录到各种系统(思科安全的IT团队在此时发现有问题)。
• 删除远程访问和攻击性安全工具。
• 添加后门账户和持久化机制。

该团队解释说：“在最初访问环境后，威胁参与者采取各种措施，以维护访问权限、最大限度地减少取证，并提高他们对环境中系统的访问级别。网络攻击者设法破坏了一系列Citrix服务器，并最终获得了对域控制器的特权访问。”

他们追踪凭据数据库、注册表信息和包含凭据的内存，删除创建的帐户，并清除系统日志以掩盖他们的踪迹，更改基于主机的防火墙配置以启用RDP访问系统，并试图窃取内部信息。

事实证明，他们只设法从Active Directory中窃取了与受感染员工帐户和员工身份验证数据相关联的Box文件夹的内容。

思科公司声称，“该事件包含在企业IT环境中，思科公司没有发现对任何思科产品或服务、敏感的客户数据或员工信息、思科知识产权或供应链运营有任何影响。”

这些网络攻击者在被启动之前没有设法部署勒索软件，但他们仍然试图从思科公司勒索赎金，以换取被盗数据不对外泄露。

可以吸取的教训

思科公司于2022年5月24日首次注意到正在进行的网络攻击，但没有透露在此之前这一攻击持续了多长时间。

思科Talos团队详细介绍了网络攻击者获取访问权限，以及他们在思科企业网络中所采取的措施，以及将他们从网络中移除后重新进入的尝试，并分享了入侵迹象，以帮助其他企业防御者和事件响应者。

分析师指出，“根据获得的工件、识别的战术、技术和程序(TTP)、使用的基础设施以及对这次攻击中使用的后门的彻底分析，我们以中等到高度的信心评估这次攻击是由具有之前被确定的与UNC2447和Lapsus$有关的初始访问代理(IAB)。

我们还观察到之前的活动将这个威胁行为者与Yanluowang勒索软件团伙联系起来，包括使用Yanluowang数据泄露网站发布从受害企业窃取的数据。”

思科公司发布的披露和详细报告获得了许多网络安全专家的好评，并强调了一些已知的安全机制弱点。