網絡巨頭思科遭數據勒索：VPN訪問權限被竊取，2.8GB數據泄露

思科官方披露，內網遭到閻羅王勒索軟件團伙入侵，少量非敏感數據泄露，并公布了攻擊過程復原；

攻擊者竊取一名員工的谷歌賬號，通過瀏覽器同步的賬密獲得了思科內網VPN賬號，利用復雜語音釣魚電話獲得了該員工的二次驗證碼，從而進入內網實施竊密；

惡意黑客聲稱竊取到2.75GB數據，約3100個文件，其中不少文件為保密協議、數據轉儲和工程圖紙。

前情回顧·數據勒索大爆炸

• 中歐天然氣管道公司疑遭勒索軟件攻擊，150GB數據失竊
• 全球數字信任體系恐遭毀滅性打擊！證書巨頭Entrust被勒索軟件攻陷
• 跨國建材巨頭可耐福遭勒索軟件攻擊，所有IT系統被迫關閉

安全內參8月11日消息，思科公司昨日證實，“閻羅王”（音譯，原名Yanluowang）勒索軟件團伙在今年5月下旬入侵了其企業網絡，攻擊者還試圖公布被盜文件以要挾索取贖金。

思科聲稱，攻擊者竊取到的只是與受感染員工賬戶關聯的Box文件夾中的非敏感數據。

思科公司一位發言人向外媒BleepingComputer確認，“思科公司在2022年5月下旬經歷了一起企業網絡安全事件。我們立即采取行動，遏制并清理了惡意黑客。”

“思科未發現此事件對公司業務造成過任何影響，包括思科產品或服務、敏感客戶數據或敏感員工信息、知識產權或供應鏈運營。”

“8月10日，惡意黑客將期間竊取到的文件清單發布至暗網。我們已經采取了額外措施來保護自身系統，并公布了技術細節，希望協助保護更廣泛的安全社區。”

圖：“閻羅王”發給思科公司的郵件

利用被盜員工憑證入侵思科網絡

“閻羅王”惡意團隊首先劫持了思科員工的個人谷歌賬戶（包含從瀏覽器同步的憑證），隨后使用其中的被盜憑證獲得了對思科網絡的訪問權限。

“閻羅王”團伙發出大量多因素身份驗證（MFA）推送通知，用疲勞戰術搞垮目標員工的心態，之后再偽裝成受信任的支持組織發起一系列復雜的語音網絡釣魚攻擊。

終于，惡意黑客成功誘導受害者接受了其中一條多因素驗證通知，并結合目標用戶上下文信息獲得了對VPN的訪問權限。

在思科企業網絡上成功站穩腳跟后，“閻羅王”團伙開始橫向移動至Citrix服務器和域控制器。

思科安全研究團隊Talos表示，“對方進入了Citrix環境，入侵了一系列Citrix服務器，并最終獲得了對域控制器的高權限訪問。”

在獲得域管理員身份后，他們使用域枚舉工具（如ntdsutil、adfind以及secretsdump等）收集更多信息，將包括后門在內的多種有效載荷安裝到受感染系統上。

最后，思科檢測到了這一惡意活動，并將惡意黑客從環境中驅逐了出去。在隨后幾周內，“閻羅王”團伙仍多次嘗試重奪訪問權限。

Talos團隊補充道，“在獲得初始訪問權限后，惡意黑客曾采取多種行動來維持訪問權限，希望盡可能破壞取證線索，并提高自己在環境中的系統訪問級別。”

“惡意黑客隨后被成功清理出思科環境，但仍沒有徹底放棄。他們在攻擊后的幾周內，曾反復嘗試重新奪取訪問權限，但這些嘗試均未能奏效。”

黑客稱已經竊取到思科數據

上周，這批惡意黑客通過郵件向外媒BleepingComputer發送了一份目錄，內容據稱是攻擊期間從思科處竊取到的文件。

惡意黑客聲稱共竊取到2.75 GB數據，包含約3100個文件。其中不少文件為保密協議、數據轉儲和工程圖紙。

黑客還向BleepingComputer展示了攻擊期間獲得的一份經過編輯的保密協議（NDA）文件，用以證明攻擊獲得成功，并“暗示”這些文件是入侵思科網絡后竊取而來。

圖：用于證明成功入侵思科網絡的文件

惡意黑客已經在自己的數據泄露網站上公布了思科入侵事件，并附上了BleepingComputer此前收到的同一份文件目錄。

思科系統并未被部署勒索軟件

思科公司強調，盡管“閻羅王”團伙向來以加密鎖定受害者文件而聞名，但此次攻擊過程并未出現涉及勒索軟件載荷的證據。

昨天（8月10日），思科Talos團隊發布對該事件的響應過程文章稱，“雖然我們并未在此次攻擊中觀察到勒索軟件部署，但惡意黑客使用的戰術、技術與程序（TTP）同以往的「勒索攻擊預前活動」保持一致。也就是說，對方仍然延續了實際部署勒索軟件之前的整個預備套路。”

“我們有中等到較強的信心，認為此次攻擊是某初始訪問代理（IAB）所為。之前已經確認，此代理同UNC2447網絡犯罪團伙、Lapsus$惡意團伙以及「閻羅王」勒索軟件團伙均有聯系。”

“閻羅王”團伙近期還表示成功入侵了美國零售巨頭沃爾瑪的系統，但遭到受害者的明確否認。沃爾瑪向BleepingComputer表示，自己并未發現勒索軟件攻擊的證據。