思科公司的Talos威胁情报团队发布了一份8110线路列表,显示了受到攻击的文件夹名称和可能泄露的文件。
但该团队声称,这一漏洞只导致无关紧要的数据外泄,并导致网络攻击者从思科系统和公司网络中启动。分析师指出,他们反复尝试重新侵入,尽管使用了各种先进技术,但他们还是没有取得最初的成功。
发生了什么?
Talos威胁情报团队分析师声称,网络攻击者首先控制了思科公司一名员工的个人Google账户。
他们解释说,“这名员工通过谷歌浏览器启用了密码同步,并将其思科凭据存储在浏览器中,从而使该信息能够同步到自己的谷歌账户。在获得这名员工的凭据后,网络攻击者试图使用多种技术绕过多因素身份验证(MFA),其中包括语音网络钓鱼,即向目标移动设备发送大量推送请求的过程直到用户接受。一旦攻击者获得初始访问权限,他们就会为MFA注册一系列新设备,并成功通过Cisco VPN的身份验证。”
网络攻击者采取的措施:
•将网络攻击者的权限提升为“管理员”,允许他们登录到各种系统(思科安全的IT团队在此时发现有问题)。
•删除远程访问和攻击性安全工具。
•添加后门账户和持久化机制。
该团队解释说:“在最初访问环境后,威胁参与者采取各种措施,以维护访问权限、最大限度地减少取证,并提高他们对环境中系统的访问级别。网络攻击者设法破坏了一系列Citrix服务器,并最终获得了对域控制器的特权访问。”
他们追踪凭据数据库、注册表信息和包含凭据的内存,删除创建的帐户,并清除系统日志以掩盖他们的踪迹,更改基于主机的防火墙配置以启用RDP访问系统,并试图窃取内部信息。
事实证明,他们只设法从Active Directory中窃取了与受感染员工帐户和员工身份验证数据相关联的Box文件夹的内容。
思科公司声称,“该事件包含在企业IT环境中,思科公司没有发现对任何思科产品或服务、敏感的客户数据或员工信息、思科知识产权或供应链运营有任何影响。”
这些网络攻击者在被启动之前没有设法部署勒索软件,但他们仍然试图从思科公司勒索赎金,以换取被盗数据不对外泄露。
可以吸取的教训
思科公司于2022年5月24日首次注意到正在进行的网络攻击,但没有透露在此之前这一攻击持续了多长时间。
思科Talos团队详细介绍了网络攻击者获取访问权限,以及他们在思科企业网络中所采取的措施,以及将他们从网络中移除后重新进入的尝试,并分享了入侵迹象,以帮助其他企业防御者和事件响应者。
分析师指出,“根据获得的工件、识别的战术、技术和程序(TTP)、使用的基础设施以及对这次攻击中使用的后门的彻底分析,我们以中等到高度的信心评估这次攻击是由具有之前被确定的与UNC2447和Lapsus$有关的初始访问代理(IAB)。
我们还观察到之前的活动将这个威胁行为者与Yanluowang勒索软件团伙联系起来,包括使用Yanluowang数据泄露网站发布从受害企业窃取的数据。”
思科公司发布的披露和详细报告获得了许多网络安全专家的好评,并强调了一些已知的安全机制弱点。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号