信息來(lái)源:安全內(nèi)參
-
思科官方披露�,內(nèi)網(wǎng)遭到閻羅王勒索軟件團(tuán)伙入侵,少量非敏感數(shù)據(jù)泄露�����,并公布了攻擊過(guò)程復(fù)原�����;
-
攻擊者竊取一名員工的谷歌賬號(hào)��,通過(guò)瀏覽器同步的賬密獲得了思科內(nèi)網(wǎng)VPN賬號(hào)�,利用復(fù)雜語(yǔ)音釣魚電話獲得了該員工的二次驗(yàn)證碼,從而進(jìn)入內(nèi)網(wǎng)實(shí)施竊密�;
-
惡意黑客聲稱竊取到2.75GB數(shù)據(jù),約3100個(gè)文件���,其中不少文件為保密協(xié)議�、數(shù)據(jù)轉(zhuǎn)儲(chǔ)和工程圖紙���。
前情回顧·數(shù)據(jù)勒索大爆炸
安全內(nèi)參8月11日消息,思科公司昨日證實(shí)�,“閻羅王”(音譯,原名Yanluowang)勒索軟件團(tuán)伙在今年5月下旬入侵了其企業(yè)網(wǎng)絡(luò)���,攻擊者還試圖公布被盜文件以要挾索取贖金�。
思科聲稱���,攻擊者竊取到的只是與受感染員工賬戶關(guān)聯(lián)的Box文件夾中的非敏感數(shù)據(jù)���。
思科公司一位發(fā)言人向外媒BleepingComputer確認(rèn),“思科公司在2022年5月下旬經(jīng)歷了一起企業(yè)網(wǎng)絡(luò)安全事件���。我們立即采取行動(dòng)���,遏制并清理了惡意黑客��?�!?
“思科未發(fā)現(xiàn)此事件對(duì)公司業(yè)務(wù)造成過(guò)任何影響���,包括思科產(chǎn)品或服務(wù)、敏感客戶數(shù)據(jù)或敏感員工信息����、知識(shí)產(chǎn)權(quán)或供應(yīng)鏈運(yùn)營(yíng)���?�!?
“8月10日�����,惡意黑客將期間竊取到的文件清單發(fā)布至暗網(wǎng)����。我們已經(jīng)采取了額外措施來(lái)保護(hù)自身系統(tǒng)�,并公布了技術(shù)細(xì)節(jié),希望協(xié)助保護(hù)更廣泛的安全社區(qū)����?�!?
圖:“閻羅王”發(fā)給思科公司的郵件
利用被盜員工憑證入侵思科網(wǎng)絡(luò)
“閻羅王”惡意團(tuán)隊(duì)首先劫持了思科員工的個(gè)人谷歌賬戶(包含從瀏覽器同步的憑證)�,隨后使用其中的被盜憑證獲得了對(duì)思科網(wǎng)絡(luò)的訪問(wèn)權(quán)限�。
“閻羅王”團(tuán)伙發(fā)出大量多因素身份驗(yàn)證(MFA)推送通知,用疲勞戰(zhàn)術(shù)搞垮目標(biāo)員工的心態(tài)���,之后再偽裝成受信任的支持組織發(fā)起一系列復(fù)雜的語(yǔ)音網(wǎng)絡(luò)釣魚攻擊�����。
終于��,惡意黑客成功誘導(dǎo)受害者接受了其中一條多因素驗(yàn)證通知����,并結(jié)合目標(biāo)用戶上下文信息獲得了對(duì)VPN的訪問(wèn)權(quán)限�。
在思科企業(yè)網(wǎng)絡(luò)上成功站穩(wěn)腳跟后,“閻羅王”團(tuán)伙開(kāi)始橫向移動(dòng)至Citrix服務(wù)器和域控制器���。
思科安全研究團(tuán)隊(duì)Talos表示����,“對(duì)方進(jìn)入了Citrix環(huán)境,入侵了一系列Citrix服務(wù)器����,并最終獲得了對(duì)域控制器的高權(quán)限訪問(wèn)?!?
在獲得域管理員身份后,他們使用域枚舉工具(如ntdsutil���、adfind以及secretsdump等)收集更多信息���,將包括后門在內(nèi)的多種有效載荷安裝到受感染系統(tǒng)上���。
最后����,思科檢測(cè)到了這一惡意活動(dòng)�,并將惡意黑客從環(huán)境中驅(qū)逐了出去。在隨后幾周內(nèi)���,“閻羅王”團(tuán)伙仍多次嘗試重奪訪問(wèn)權(quán)限���。
Talos團(tuán)隊(duì)補(bǔ)充道���,“在獲得初始訪問(wèn)權(quán)限后,惡意黑客曾采取多種行動(dòng)來(lái)維持訪問(wèn)權(quán)限�����,希望盡可能破壞取證線索����,并提高自己在環(huán)境中的系統(tǒng)訪問(wèn)級(jí)別?���!?
“惡意黑客隨后被成功清理出思科環(huán)境,但仍沒(méi)有徹底放棄��。他們?cè)诠艉蟮膸字軆?nèi)�,曾反復(fù)嘗試重新奪取訪問(wèn)權(quán)限,但這些嘗試均未能奏效��?�!?
黑客稱已經(jīng)竊取到思科數(shù)據(jù)
上周����,這批惡意黑客通過(guò)郵件向外媒BleepingComputer發(fā)送了一份目錄�,內(nèi)容據(jù)稱是攻擊期間從思科處竊取到的文件�。
惡意黑客聲稱共竊取到2.75 GB數(shù)據(jù),包含約3100個(gè)文件�。其中不少文件為保密協(xié)議、數(shù)據(jù)轉(zhuǎn)儲(chǔ)和工程圖紙���。
黑客還向BleepingComputer展示了攻擊期間獲得的一份經(jīng)過(guò)編輯的保密協(xié)議(NDA)文件�����,用以證明攻擊獲得成功���,并“暗示”這些文件是入侵思科網(wǎng)絡(luò)后竊取而來(lái)。
圖:用于證明成功入侵思科網(wǎng)絡(luò)的文件
惡意黑客已經(jīng)在自己的數(shù)據(jù)泄露網(wǎng)站上公布了思科入侵事件��,并附上了BleepingComputer此前收到的同一份文件目錄��。
思科系統(tǒng)并未被部署勒索軟件
思科公司強(qiáng)調(diào)��,盡管“閻羅王”團(tuán)伙向來(lái)以加密鎖定受害者文件而聞名����,但此次攻擊過(guò)程并未出現(xiàn)涉及勒索軟件載荷的證據(jù)。
昨天(8月10日)��,思科Talos團(tuán)隊(duì)發(fā)布對(duì)該事件的響應(yīng)過(guò)程文章稱����,“雖然我們并未在此次攻擊中觀察到勒索軟件部署,但惡意黑客使用的戰(zhàn)術(shù)�����、技術(shù)與程序(TTP)同以往的「勒索攻擊預(yù)前活動(dòng)」保持一致���。也就是說(shuō)���,對(duì)方仍然延續(xù)了實(shí)際部署勒索軟件之前的整個(gè)預(yù)備套路?!?
“我們有中等到較強(qiáng)的信心,認(rèn)為此次攻擊是某初始訪問(wèn)代理(IAB)所為�����。之前已經(jīng)確認(rèn)���,此代理同UNC2447網(wǎng)絡(luò)犯罪團(tuán)伙���、Lapsus$惡意團(tuán)伙以及「閻羅王」勒索軟件團(tuán)伙均有聯(lián)系��?���!?
“閻羅王”團(tuán)伙近期還表示成功入侵了美國(guó)零售巨頭沃爾瑪?shù)南到y(tǒng)����,但遭到受害者的明確否認(rèn)。沃爾瑪向BleepingComputer表示�,自己并未發(fā)現(xiàn)勒索軟件攻擊的證據(jù)。
參考資料:bleepingcomputer.com
