思科公司的Talos威脅情報團隊發布了一份8110線路列表,顯示了受到攻擊的文件夾名稱和可能泄露的文件。
但該團隊聲稱,這一漏洞只導致無關緊要的數據外泄,并導致網絡攻擊者從思科系統和公司網絡中啟動。分析師指出,他們反復嘗試重新侵入,盡管使用了各種先進技術,但他們還是沒有取得最初的成功。
發生了什么?
Talos威脅情報團隊分析師聲稱,網絡攻擊者首先控制了思科公司一名員工的個人Google賬戶。
他們解釋說,“這名員工通過谷歌瀏覽器啟用了密碼同步,并將其思科憑據存儲在瀏覽器中,從而使該信息能夠同步到自己的谷歌賬戶。在獲得這名員工的憑據后,網絡攻擊者試圖使用多種技術繞過多因素身份驗證(MFA),其中包括語音網絡釣魚,即向目標移動設備發送大量推送請求的過程直到用戶接受。一旦攻擊者獲得初始訪問權限,他們就會為MFA注冊一系列新設備,并成功通過Cisco VPN的身份驗證。”
網絡攻擊者采取的措施:
•將網絡攻擊者的權限提升為“管理員”,允許他們登錄到各種系統(思科安全的IT團隊在此時發現有問題)。
•刪除遠程訪問和攻擊性安全工具。
•添加后門賬戶和持久化機制。
該團隊解釋說:“在最初訪問環境后,威脅參與者采取各種措施,以維護訪問權限、最大限度地減少取證,并提高他們對環境中系統的訪問級別。網絡攻擊者設法破壞了一系列Citrix服務器,并最終獲得了對域控制器的特權訪問。”
他們追蹤憑據數據庫、注冊表信息和包含憑據的內存,刪除創建的帳戶,并清除系統日志以掩蓋他們的蹤跡,更改基于主機的防火墻配置以啟用RDP訪問系統,并試圖竊取內部信息。
事實證明,他們只設法從Active Directory中竊取了與受感染員工帳戶和員工身份驗證數據相關聯的Box文件夾的內容。
思科公司聲稱,“該事件包含在企業IT環境中,思科公司沒有發現對任何思科產品或服務、敏感的客戶數據或員工信息、思科知識產權或供應鏈運營有任何影響。”
這些網絡攻擊者在被啟動之前沒有設法部署勒索軟件,但他們仍然試圖從思科公司勒索贖金,以換取被盜數據不對外泄露。
可以吸取的教訓
思科公司于2022年5月24日首次注意到正在進行的網絡攻擊,但沒有透露在此之前這一攻擊持續了多長時間。
思科Talos團隊詳細介紹了網絡攻擊者獲取訪問權限,以及他們在思科企業網絡中所采取的措施,以及將他們從網絡中移除后重新進入的嘗試,并分享了入侵跡象,以幫助其他企業防御者和事件響應者。
分析師指出,“根據獲得的工件、識別的戰術、技術和程序(TTP)、使用的基礎設施以及對這次攻擊中使用的后門的徹底分析,我們以中等到高度的信心評估這次攻擊是由具有之前被確定的與UNC2447和Lapsus$有關的初始訪問代理(IAB)。
我們還觀察到之前的活動將這個威脅行為者與Yanluowang勒索軟件團伙聯系起來,包括使用Yanluowang數據泄露網站發布從受害企業竊取的數據。”
思科公司發布的披露和詳細報告獲得了許多網絡安全專家的好評,并強調了一些已知的安全機制弱點。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號