信息來源:安全內(nèi)參
-
思科官方披露,內(nèi)網(wǎng)遭到閻羅王勒索軟件團(tuán)伙入侵,少量非敏感數(shù)據(jù)泄露,并公布了攻擊過程復(fù)原;
-
攻擊者竊取一名員工的谷歌賬號,通過瀏覽器同步的賬密獲得了思科內(nèi)網(wǎng)VPN賬號,利用復(fù)雜語音釣魚電話獲得了該員工的二次驗(yàn)證碼,從而進(jìn)入內(nèi)網(wǎng)實(shí)施竊密;
-
惡意黑客聲稱竊取到2.75GB數(shù)據(jù),約3100個(gè)文件,其中不少文件為保密協(xié)議、數(shù)據(jù)轉(zhuǎn)儲(chǔ)和工程圖紙。
前情回顧·數(shù)據(jù)勒索大爆炸
安全內(nèi)參8月11日消息,思科公司昨日證實(shí),“閻羅王”(音譯,原名Yanluowang)勒索軟件團(tuán)伙在今年5月下旬入侵了其企業(yè)網(wǎng)絡(luò),攻擊者還試圖公布被盜文件以要挾索取贖金。
思科聲稱,攻擊者竊取到的只是與受感染員工賬戶關(guān)聯(lián)的Box文件夾中的非敏感數(shù)據(jù)。
思科公司一位發(fā)言人向外媒BleepingComputer確認(rèn),“思科公司在2022年5月下旬經(jīng)歷了一起企業(yè)網(wǎng)絡(luò)安全事件。我們立即采取行動(dòng),遏制并清理了惡意黑客。”
“思科未發(fā)現(xiàn)此事件對公司業(yè)務(wù)造成過任何影響,包括思科產(chǎn)品或服務(wù)、敏感客戶數(shù)據(jù)或敏感員工信息、知識產(chǎn)權(quán)或供應(yīng)鏈運(yùn)營?!?
“8月10日,惡意黑客將期間竊取到的文件清單發(fā)布至暗網(wǎng)。我們已經(jīng)采取了額外措施來保護(hù)自身系統(tǒng),并公布了技術(shù)細(xì)節(jié),希望協(xié)助保護(hù)更廣泛的安全社區(qū)。”
圖:“閻羅王”發(fā)給思科公司的郵件
利用被盜員工憑證入侵思科網(wǎng)絡(luò)
“閻羅王”惡意團(tuán)隊(duì)首先劫持了思科員工的個(gè)人谷歌賬戶(包含從瀏覽器同步的憑證),隨后使用其中的被盜憑證獲得了對思科網(wǎng)絡(luò)的訪問權(quán)限。
“閻羅王”團(tuán)伙發(fā)出大量多因素身份驗(yàn)證(MFA)推送通知,用疲勞戰(zhàn)術(shù)搞垮目標(biāo)員工的心態(tài),之后再偽裝成受信任的支持組織發(fā)起一系列復(fù)雜的語音網(wǎng)絡(luò)釣魚攻擊。
終于,惡意黑客成功誘導(dǎo)受害者接受了其中一條多因素驗(yàn)證通知,并結(jié)合目標(biāo)用戶上下文信息獲得了對VPN的訪問權(quán)限。
在思科企業(yè)網(wǎng)絡(luò)上成功站穩(wěn)腳跟后,“閻羅王”團(tuán)伙開始橫向移動(dòng)至Citrix服務(wù)器和域控制器。
思科安全研究團(tuán)隊(duì)Talos表示,“對方進(jìn)入了Citrix環(huán)境,入侵了一系列Citrix服務(wù)器,并最終獲得了對域控制器的高權(quán)限訪問?!?
在獲得域管理員身份后,他們使用域枚舉工具(如ntdsutil、adfind以及secretsdump等)收集更多信息,將包括后門在內(nèi)的多種有效載荷安裝到受感染系統(tǒng)上。
最后,思科檢測到了這一惡意活動(dòng),并將惡意黑客從環(huán)境中驅(qū)逐了出去。在隨后幾周內(nèi),“閻羅王”團(tuán)伙仍多次嘗試重奪訪問權(quán)限。
Talos團(tuán)隊(duì)補(bǔ)充道,“在獲得初始訪問權(quán)限后,惡意黑客曾采取多種行動(dòng)來維持訪問權(quán)限,希望盡可能破壞取證線索,并提高自己在環(huán)境中的系統(tǒng)訪問級別?!?
“惡意黑客隨后被成功清理出思科環(huán)境,但仍沒有徹底放棄。他們在攻擊后的幾周內(nèi),曾反復(fù)嘗試重新奪取訪問權(quán)限,但這些嘗試均未能奏效?!?
黑客稱已經(jīng)竊取到思科數(shù)據(jù)
上周,這批惡意黑客通過郵件向外媒BleepingComputer發(fā)送了一份目錄,內(nèi)容據(jù)稱是攻擊期間從思科處竊取到的文件。
惡意黑客聲稱共竊取到2.75 GB數(shù)據(jù),包含約3100個(gè)文件。其中不少文件為保密協(xié)議、數(shù)據(jù)轉(zhuǎn)儲(chǔ)和工程圖紙。
黑客還向BleepingComputer展示了攻擊期間獲得的一份經(jīng)過編輯的保密協(xié)議(NDA)文件,用以證明攻擊獲得成功,并“暗示”這些文件是入侵思科網(wǎng)絡(luò)后竊取而來。
圖:用于證明成功入侵思科網(wǎng)絡(luò)的文件
惡意黑客已經(jīng)在自己的數(shù)據(jù)泄露網(wǎng)站上公布了思科入侵事件,并附上了BleepingComputer此前收到的同一份文件目錄。
思科系統(tǒng)并未被部署勒索軟件
思科公司強(qiáng)調(diào),盡管“閻羅王”團(tuán)伙向來以加密鎖定受害者文件而聞名,但此次攻擊過程并未出現(xiàn)涉及勒索軟件載荷的證據(jù)。
昨天(8月10日),思科Talos團(tuán)隊(duì)發(fā)布對該事件的響應(yīng)過程文章稱,“雖然我們并未在此次攻擊中觀察到勒索軟件部署,但惡意黑客使用的戰(zhàn)術(shù)、技術(shù)與程序(TTP)同以往的「勒索攻擊預(yù)前活動(dòng)」保持一致。也就是說,對方仍然延續(xù)了實(shí)際部署勒索軟件之前的整個(gè)預(yù)備套路?!?
“我們有中等到較強(qiáng)的信心,認(rèn)為此次攻擊是某初始訪問代理(IAB)所為。之前已經(jīng)確認(rèn),此代理同UNC2447網(wǎng)絡(luò)犯罪團(tuán)伙、Lapsus$惡意團(tuán)伙以及「閻羅王」勒索軟件團(tuán)伙均有聯(lián)系。”
“閻羅王”團(tuán)伙近期還表示成功入侵了美國零售巨頭沃爾瑪?shù)南到y(tǒng),但遭到受害者的明確否認(rèn)。沃爾瑪向BleepingComputer表示,自己并未發(fā)現(xiàn)勒索軟件攻擊的證據(jù)。
參考資料:bleepingcomputer.com