思科(Cisco)周三證實:今年五月,Yanluowang勒索軟件團夥入侵該公司的網絡,並試圖利用線上泄露的被盜文件索取贖金。即便如此,思科還是堅稱攻擊者僅從與受感染員工賬戶相關聯的Box文件夾中,獲取並竊取非敏感數據。
思科發言人在接受 BleepingComputer 采訪時稱,該公司網絡於 2022 年 5 月下旬經歷一起安全事件,但他們已迅速采取行動、將不良行為者遏制並清除。
思科未發現此事件對公司的業務運營造成任何影響,包括思科產品與服務、敏感的客戶數據 / 員工信息、知識產權、或供應鏈運營。
8 月 10 日,攻擊者將本次安全事件中竊取的文件列表發佈到暗網。
不過我們已經采取額外措施來保護公司系統、同時分享技術細節,以幫助保護更廣泛的安全社區。
據悉,Yanluowang 攻擊者在劫持員工的個人 Google 賬戶(包含從起瀏覽器同步的憑據)後,使用被盜的身份驗證信息獲得對思科網絡的訪問權限。
接著攻擊者利用多因素身份驗證推送通知,來說服思科員工接受 MFA,然後利用假冒受信任的支持組織,發起一系列復雜的語音網絡釣魚攻擊。
泄露文件列表(圖 via BleepingComputer)
威脅行為者最終誘騙受害者接受其中一個 MFA 通知,並在目標用戶的上下文內容中獲得對虛擬專用網的訪問權限。
一在企業內網站穩腳跟,Yanluowang 團夥就開始橫向傳播,繼而染指思科的服務器和域控制器。
思科旗下威脅情報組織 Talos 在調查後發現,攻擊者進入 Citrix 環境並破壞一系列服務器,並最終獲得對域控制器的特權訪問。
在獲得域管理員權限後,黑客又利用 ntdsutil、adfind 和 secretsdump 等枚舉工具收集到更多信息,從而將一系列有效負載安裝到受感染的系統上(包括後門)。
慶幸的是,思科很快檢測到、並從內網環境中將攻擊者驅逐出去。
然而不死心的 Yanluowang 團夥,還是在碰壁後的接下來幾周時間裡,不斷嘗試重新獲取訪問權限。
Talos 補充道:“在獲得初始訪問權限後,威脅參與者開展各種活動來維持和提升其在系統中的訪問權限,並盡最大限度地減少取證偽影”。
上周,幕後威脅參與者通過電子郵件,向 BleepingComputer 發送一份據稱在攻擊期間被盜取的文件目錄。
該團夥聲稱掌握 2.75 GB 的數據,其中包括大約 3100 個文件,且不少與保密協議、數據轉儲和工程圖紙有關。
為證明數據泄露的真實性,它們還向外媒分享一份經過編輯的 NDA 文件。
即便如此,思科方面還是回應稱 —— 盡管 Yanluowang 團夥以加密受害者的文件而臭名昭著,但該公司並未在這輪攻擊過程中發現有勒索軟件得逞的證據。
至於幕後黑手的真實身份,Talos 比較肯定它們與先前被確定為 UNC2447 的網絡犯罪團夥和 Lapsus$ 等有關。
此外 Yanluowang 最近聲稱入侵美國零售巨頭沃爾瑪的系統,但相關報道並未發現勒索軟件攻擊的證據。