Công ty thiết bị mạng cisco hôm thứ Tư đã xác nhận rằng họ là nạn nhân của một cuộc tấn công mạng vào ngày 24 tháng 5 năm 2022 sau khi những kẻ tấn công nắm được tài khoản Google cá nhân của một nhân viên có chứa mật khẩu được đồng bộ hóa từ trình duyệt web của họ.
“Quyền truy cập ban đầu vào Cisco VPN đã đạt được thông qua việc xâm nhập thành công tài khoản Google cá nhân của nhân viên Cisco”, Cisco Talos cho biết trong một bài viết chi tiết. “Người dùng đã bật đồng bộ hóa mật khẩu qua Google Chrome và đã lưu trữ thông tin đăng nhập Cisco của họ trong trình duyệt của họ, cho phép thông tin đó đồng bộ hóa với tài khoản Google của họ.”
Tiết lộ được đưa ra khi những kẻ tội phạm mạng có liên quan đến băng đảng ransomware Yanluowang đã công bố danh sách các tệp từ vụ vi phạm đến trang web rò rỉ dữ liệu của họ vào ngày 10 tháng 8.
Theo Talos, thông tin bị lấy cắp bao gồm nội dung của một thư mục lưu trữ đám mây Box được liên kết với tài khoản của nhân viên bị xâm phạm và không được cho là có chứa bất kỳ dữ liệu có giá trị nào.
Bên cạnh hành vi trộm cắp thông tin xác thực, cũng có một yếu tố lừa đảo bổ sung, trong đó đối thủ sử dụng các phương pháp như đánh lừa thị giác (hay còn gọi là lừa đảo bằng giọng nói) và xác thực đa yếu tố (MFA) để lừa nạn nhân cung cấp quyền truy cập vào ứng dụng khách VPN.
MFA mệt mỏi hoặc đánh bom nhanh chóng là tên được đặt cho một kỹ thuật được các tác nhân đe dọa sử dụng để làm tràn ngập ứng dụng xác thực của người dùng với các thông báo đẩy với hy vọng họ sẽ ngừng hoạt động và do đó cho phép kẻ tấn công truy cập trái phép vào tài khoản.
“Kẻ tấn công cuối cùng đã thành công trong việc đạt được sự chấp nhận đẩy MFA, cấp cho họ quyền truy cập vào VPN trong bối cảnh của người dùng được nhắm mục tiêu”, Talos lưu ý.
Sau khi thiết lập chỗ đứng ban đầu đối với môi trường, kẻ tấn công đã chuyển sang đăng ký một loạt thiết bị mới cho MFA và chuyển sang đặc quyền quản trị, cấp cho chúng quyền rộng rãi để đăng nhập vào một số hệ thống – một hành động cũng thu hút sự chú ý của các nhóm bảo mật của Cisco.
Tác nhân đe dọa, mà nó quy cho một nhà môi giới truy cập ban đầu (IAB) có quan hệ với băng nhóm tội phạm mạng UNC2447, nhóm tác nhân đe dọa LAPSUS $ và các nhà khai thác ransomware Yanluowang, cũng đã thực hiện các bước để thêm tài khoản cửa sau và cơ chế tồn tại của riêng họ.
UNC2447, một diễn viên “tích cực” có động cơ tài chính giữa Nga và mối quan hệ, đã bị phát hiện vào tháng 4 năm 2021 khi khai thác một lỗ hổng zero-day trong SonicWall VPN để thả FIVEHANDS ransomware.
Yanluowang, được đặt theo tên một vị thần Trung Quốc, là một biến thể ransomware đã được sử dụng chống lại các tập đoàn ở Mỹ, Brazil và Thổ Nhĩ Kỳ kể từ tháng 8 năm 2021. Đầu tháng 4 này, một lỗ hổng trong thuật toán mã hóa của nó đã cho phép Kaspersky bẻ khóa phần mềm độc hại và cung cấp miễn phí giải mã để giúp đỡ nạn nhân.
Hơn nữa, nam diễn viên được cho là đã triển khai nhiều công cụ, bao gồm các tiện ích truy cập từ xa như LogMeIn và TeamViewer, các công cụ bảo mật tấn công như Cobalt Strike, PowerSploit, Mimikatz và Impacket nhằm tăng mức độ truy cập của họ vào các hệ thống trong mạng.
“Sau khi thiết lập quyền truy cập vào VPN, kẻ tấn công sau đó bắt đầu sử dụng tài khoản người dùng bị xâm nhập để đăng nhập vào một số lượng lớn hệ thống trước khi bắt đầu thâm nhập sâu hơn vào môi trường”, nó giải thích. “Họ chuyển sang môi trường Citrix, làm tổn hại hàng loạt máy chủ Citrix và cuối cùng có được quyền truy cập đặc quyền vào bộ điều khiển miền.”
Các tác nhân đe dọa sau đó cũng được quan sát thấy các tệp di chuyển giữa các hệ thống trong môi trường sử dụng Giao thức Máy tính Từ xa (RDP) và Citrix bằng cách sửa đổi cấu hình tường lửa dựa trên máy chủ, chưa kể đến việc dàn dựng bộ công cụ ở các vị trí thư mục trong Hồ sơ người dùng công khai trên các máy chủ bị xâm phạm.
Điều đó nói rằng, không có phần mềm tống tiền nào được triển khai. “Mặc dù chúng tôi không quan sát thấy việc triển khai ransomware trong cuộc tấn công này, nhưng các TTP được sử dụng phù hợp với ‘hoạt động trước ransomware', hoạt động thường được quan sát dẫn đến việc triển khai ransomware trong môi trường nạn nhân”, công ty cho biết.
Cisco lưu ý thêm rằng những kẻ tấn công, sau khi khởi động, đã cố gắng thiết lập liên lạc qua email với các giám đốc điều hành công ty ít nhất ba lần, thúc giục họ trả tiền và “sẽ không ai biết về sự cố và rò rỉ thông tin.” Email cũng bao gồm một ảnh chụp màn hình danh sách thư mục của thư mục Hộp exfiltrated.
Ngoài việc bắt đầu đặt lại mật khẩu toàn công ty, công ty có trụ sở tại San Jose nhấn mạnh sự cố không ảnh hưởng đến hoạt động kinh doanh của họ hoặc dẫn đến truy cập trái phép vào dữ liệu nhạy cảm của khách hàng, thông tin nhân viên và tài sản trí tuệ, thêm vào đó là “các nỗ lực đã bị chặn thành công” để truy cập mạng của nó kể từ đó.
.
