據(jù)外媒報(bào)道，美國(guó)網(wǎng)絡(luò)巨頭思科系統(tǒng)公司日前證實(shí)遭到黑客攻擊，一個(gè)名稱為Yanluowang的勒索軟件運(yùn)營(yíng)商聲稱對(duì)其網(wǎng)絡(luò)進(jìn)行了攻擊。

思科公司的Talos威脅情報(bào)團(tuán)隊(duì)發(fā)布了一份8110線路列表，顯示了受到攻擊的文件夾名稱和可能泄露的文件。

但該團(tuán)隊(duì)聲稱，這一漏洞只導(dǎo)致無(wú)關(guān)緊要的數(shù)據(jù)外泄，并導(dǎo)致網(wǎng)絡(luò)攻擊者從思科系統(tǒng)和公司網(wǎng)絡(luò)中啟動(dòng)。分析師指出，他們反復(fù)嘗試重新侵入，盡管使用了各種先進(jìn)技術(shù)，但他們還是沒(méi)有取得最初的成功。

發(fā)生了什么?

Talos威脅情報(bào)團(tuán)隊(duì)分析師聲稱，網(wǎng)絡(luò)攻擊者首先控制了思科公司一名員工的個(gè)人Google賬戶。

他們解釋說(shuō)，“這名員工通過(guò)谷歌瀏覽器啟用了密碼同步，并將其思科憑據(jù)存儲(chǔ)在瀏覽器中，從而使該信息能夠同步到自己的谷歌賬戶。在獲得這名員工的憑據(jù)后，網(wǎng)絡(luò)攻擊者試圖使用多種技術(shù)繞過(guò)多因素身份驗(yàn)證(MFA)，其中包括語(yǔ)音網(wǎng)絡(luò)釣魚(yú)，即向目標(biāo)移動(dòng)設(shè)備發(fā)送大量推送請(qǐng)求的過(guò)程直到用戶接受。一旦攻擊者獲得初始訪問(wèn)權(quán)限，他們就會(huì)為MFA注冊(cè)一系列新設(shè)備，并成功通過(guò)Cisco VPN的身份驗(yàn)證。”

網(wǎng)絡(luò)攻擊者采取的措施：

• 將網(wǎng)絡(luò)攻擊者的權(quán)限提升為“管理員”，允許他們登錄到各種系統(tǒng)(思科安全的IT團(tuán)隊(duì)在此時(shí)發(fā)現(xiàn)有問(wèn)題)。
• 刪除遠(yuǎn)程訪問(wèn)和攻擊性安全工具。
• 添加后門(mén)賬戶和持久化機(jī)制。

該團(tuán)隊(duì)解釋說(shuō)：“在最初訪問(wèn)環(huán)境后，威脅參與者采取各種措施，以維護(hù)訪問(wèn)權(quán)限、最大限度地減少取證，并提高他們對(duì)環(huán)境中系統(tǒng)的訪問(wèn)級(jí)別。網(wǎng)絡(luò)攻擊者設(shè)法破壞了一系列Citrix服務(wù)器，并最終獲得了對(duì)域控制器的特權(quán)訪問(wèn)。”

他們追蹤憑據(jù)數(shù)據(jù)庫(kù)、注冊(cè)表信息和包含憑據(jù)的內(nèi)存，刪除創(chuàng)建的帳戶，并清除系統(tǒng)日志以掩蓋他們的蹤跡，更改基于主機(jī)的防火墻配置以啟用RDP訪問(wèn)系統(tǒng)，并試圖竊取內(nèi)部信息。

事實(shí)證明，他們只設(shè)法從Active Directory中竊取了與受感染員工帳戶和員工身份驗(yàn)證數(shù)據(jù)相關(guān)聯(lián)的Box文件夾的內(nèi)容。

思科公司聲稱，“該事件包含在企業(yè)IT環(huán)境中，思科公司沒(méi)有發(fā)現(xiàn)對(duì)任何思科產(chǎn)品或服務(wù)、敏感的客戶數(shù)據(jù)或員工信息、思科知識(shí)產(chǎn)權(quán)或供應(yīng)鏈運(yùn)營(yíng)有任何影響?！?/p>

這些網(wǎng)絡(luò)攻擊者在被啟動(dòng)之前沒(méi)有設(shè)法部署勒索軟件，但他們?nèi)匀辉噲D從思科公司勒索贖金，以換取被盜數(shù)據(jù)不對(duì)外泄露。

可以吸取的教訓(xùn)

思科公司于2022年5月24日首次注意到正在進(jìn)行的網(wǎng)絡(luò)攻擊，但沒(méi)有透露在此之前這一攻擊持續(xù)了多長(zhǎng)時(shí)間。

思科Talos團(tuán)隊(duì)詳細(xì)介紹了網(wǎng)絡(luò)攻擊者獲取訪問(wèn)權(quán)限，以及他們?cè)谒伎破髽I(yè)網(wǎng)絡(luò)中所采取的措施，以及將他們從網(wǎng)絡(luò)中移除后重新進(jìn)入的嘗試，并分享了入侵跡象，以幫助其他企業(yè)防御者和事件響應(yīng)者。

分析師指出，“根據(jù)獲得的工件、識(shí)別的戰(zhàn)術(shù)、技術(shù)和程序(TTP)、使用的基礎(chǔ)設(shè)施以及對(duì)這次攻擊中使用的后門(mén)的徹底分析，我們以中等到高度的信心評(píng)估這次攻擊是由具有之前被確定的與UNC2447和Lapsus$有關(guān)的初始訪問(wèn)代理(IAB)。

我們還觀察到之前的活動(dòng)將這個(gè)威脅行為者與Yanluowang勒索軟件團(tuán)伙聯(lián)系起來(lái)，包括使用Yanluowang數(shù)據(jù)泄露網(wǎng)站發(fā)布從受害企業(yè)竊取的數(shù)據(jù)?！?/p>

思科公司發(fā)布的披露和詳細(xì)報(bào)告獲得了許多網(wǎng)絡(luò)安全專家的好評(píng)，并強(qiáng)調(diào)了一些已知的安全機(jī)制弱點(diǎn)。