思科(Cisco)周三證實:今年五月,Yanluowang 勒索軟件團伙入侵了該公司的網絡,並試圖利用線上泄露的被盜文件索取贖金。即便如此,思科還是堅稱攻擊者僅從與受感染員工賬戶相關聯的 Box 文件夾中,獲取並竊取了非敏感數據。
思科發言人在接受 BleepingComputer 採訪時稱,該公司網絡於 2022 年 5 月下旬經歷了一起安全事件,但他們已迅速採取行動、將不良行為者遏制並清除。
思科未發現此事件對公司的業務運營造成任何影響,包括思科產品與服務、敏感的客戶數據 / 員工信息、知識產權、或供應鏈運營。
8 月 10 日,攻擊者將本次安全事件中竊取的文件列表發布到暗網。
不過我們已經採取額外措施來保護公司系統、同時分享了技術細節,以幫助保護更廣泛的安全社區。
據悉,Yanluowang 攻擊者在劫持了員工的個人 Google 賬戶(包含從起瀏覽器同步的憑據)后,使用被盜的身份驗證信息獲得了對思科網絡的訪問權限。
接着攻擊者利用多因素身份驗證推送通知,來說服思科員工接受 MFA,然後利用假冒受信任的支持組織,發起一系列複雜的語音網絡釣魚攻擊。
泄露文件列表(圖 via BleepingComputer)
威脅行為者最終誘騙受害者接受其中一個 MFA 通知,並在目標用戶的上下文內容中獲得了對虛擬專用網的訪問權限。
一在企業內網站穩腳跟,Yanluowang 團伙就開始橫向傳播,繼而染指思科的服務器和域控制器。
思科旗下威脅情報組織 Talos 在調查后發現,攻擊者進入了 Citrix 環境並破壞了一系列服務器,並最終獲得了對域控制器的特權訪問。
在獲得域管理員權限后,黑客又利用 ntdsutil、adfind 和 secretsdump 等枚舉工具收集到了更多信息,從而將一系列有效負載安裝到受感染的系統上(包括後門)。
慶幸的是,思科很快檢測到、並從內網環境中將攻擊者驅逐了出去。
然而不死心的 Yanluowang 團伙,還是在碰壁后的接下來幾周時間裡,不斷嘗試重新獲取訪問權限。
Talos 補充道:“在獲得初始訪問權限后,威脅參與者開展了各種活動來維持和提升其在系統中的訪問權限,並盡最大限度地減少了取證偽影”。
上周,幕後威脅參與者通過電子郵件,向 BleepingComputer 發送了一份據稱在攻擊期間被盜取的文件目錄。
該團伙聲稱掌握了 2.75 GB 的數據,其中包括大約 3100 個文件,且不少與保密協議、數據轉儲和工程圖紙有關。
為證明數據泄露的真實性,它們還向外媒分享了一份經過編輯的 NDA 文件。
即便如此,思科方面還是回應稱 —— 儘管 Yanluowang 團伙以加密受害者的文件而臭名昭著,但該公司並未在這輪攻擊過程中發現有勒索軟件得逞的證據。
至於幕後黑手的真實身份,Talos 比較肯定它們與先前被確定為 UNC2447 的網絡犯罪團伙和 Lapsus$ 等有關。
此外 Yanluowang 最近聲稱入侵了美國零售巨頭沃爾瑪的系統,但相關報道並未發現勒索軟件攻擊的證據。