思科遭遇勒索軟件團伙的攻擊

據外媒報道，美國網絡巨頭思科系統公司日前證實遭到黑客攻擊，一個名稱為Yanluowang的勒索軟件運營商聲稱對其網絡進行了攻擊。

 思科公司的Talos威脅情報團隊發布了一份8110線路列表，顯示了受到攻擊的文件夾名稱和可能泄露的文件。

 但該團隊聲稱，這一漏洞只導致無關緊要的數據外泄，并導致網絡攻擊者從思科系統和公司網絡中啟動。分析師指出，他們反復嘗試重新侵入，盡管使用了各種先進技術，但他們還是沒有取得最初的成功。

 發生了什么?

 Talos威脅情報團隊分析師聲稱，網絡攻擊者首先控制了思科公司一名員工的個人Google賬戶。

 他們解釋說，“這名員工通過谷歌瀏覽器啟用了密碼同步，并將其思科憑據存儲在瀏覽器中，從而使該信息能夠同步到自己的谷歌賬戶。在獲得這名員工的憑據后，網絡攻擊者試圖使用多種技術繞過多因素身份驗證(MFA)，其中包括語音網絡釣魚，即向目標移動設備發送大量推送請求的過程直到用戶接受。一旦攻擊者獲得初始訪問權限，他們就會為MFA注冊一系列新設備，并成功通過Cisco VPN的身份驗證。”

 網絡攻擊者采取的措施：

 ?將網絡攻擊者的權限提升為“管理員”，允許他們登錄到各種系統(思科安全的IT團隊在此時發現有問題)。

 ?刪除遠程訪問和攻擊性安全工具。

 ?添加后門賬戶和持久化機制。

 該團隊解釋說：“在最初訪問環境后，威脅參與者采取各種措施，以維護訪問權限、最大限度地減少取證，并提高他們對環境中系統的訪問級別。網絡攻擊者設法破壞了一系列Citrix服務器，并最終獲得了對域控制器的特權訪問。”

 他們追蹤憑據數據庫、注冊表信息和包含憑據的內存，刪除創建的帳戶，并清除系統日志以掩蓋他們的蹤跡，更改基于主機的防火墻配置以啟用RDP訪問系統，并試圖竊取內部信息。

 事實證明，他們只設法從Active Directory中竊取了與受感染員工帳戶和員工身份驗證數據相關聯的Box文件夾的內容。

 思科公司聲稱，“該事件包含在企業IT環境中，思科公司沒有發現對任何思科產品或服務、敏感的客戶數據或員工信息、思科知識產權或供應鏈運營有任何影響。”

 這些網絡攻擊者在被啟動之前沒有設法部署勒索軟件，但他們仍然試圖從思科公司勒索贖金，以換取被盜數據不對外泄露。

 可以吸取的教訓

 思科公司于2022年5月24日首次注意到正在進行的網絡攻擊，但沒有透露在此之前這一攻擊持續了多長時間。

 思科Talos團隊詳細介紹了網絡攻擊者獲取訪問權限，以及他們在思科企業網絡中所采取的措施，以及將他們從網絡中移除后重新進入的嘗試，并分享了入侵跡象，以幫助其他企業防御者和事件響應者。

 分析師指出，“根據獲得的工件、識別的戰術、技術和程序(TTP)、使用的基礎設施以及對這次攻擊中使用的后門的徹底分析，我們以中等到高度的信心評估這次攻擊是由具有之前被確定的與UNC2447和Lapsus$有關的初始訪問代理(IAB)。

 我們還觀察到之前的活動將這個威脅行為者與Yanluowang勒索軟件團伙聯系起來，包括使用Yanluowang數據泄露網站發布從受害企業竊取的數據。”

 思科公司發布的披露和詳細報告獲得了許多網絡安全專家的好評，并強調了一些已知的安全機制弱點。