据外媒报道,美国网络巨头思科系统公司已确认遭到黑客攻击,名为岩洛网的勒索软件运营商声称对其网络进行了攻击。思科的Talos威胁情报团队发布了一个包含8110行的列表,其中显示了受到威胁的文件夹的名称以及可能已经泄露的文件。但该团队声称,该漏洞仅导致微不足道的数据泄露,并允许网络攻击者从思科系统和企业网络启动。分析人士指出,他们多次尝试重新入侵,尽管使用了各种先进技术,但未能取得初步成功。发生了什么?Talos威胁情报团队的分析师声称,网络攻击者首先控制了思科员工的个人Google帐户。“该员工通过谷歌浏览器启用了密码同步,并将他的思科凭据存储在浏览器中,使该信息能够同步到他的谷歌账户,”他们解释道。在获得员工的凭据后,网络攻击者试图使用各种技术绕过多因素身份验证(MFA),包括语音网络钓鱼,即向目标移动设备发送大量推送请求直到用户接受的过程。一旦攻击者获得初始访问权限,他们便开始向MFA注册一系列新设备并成功通过CiscoVPN的身份验证。”网络攻击者采取的行动:将网络攻击者提升为“管理员”权限,允许他们登录各种系统(CiscoSecurity的IT团队在这一点上出现了问题。删除远程访问和攻击性安全工具。添加后门帐户和持久性机制。“在初始访问环境后,威胁参与者采取各种措施来维护访问,最大限度地减少取证,并增加他们对环境中系统的访问级别,”该团队解释说。网络攻击者设法破坏了一系列Citrix服务器,并最终获得了对域控制器的特权访问权限。”他们追踪凭证数据库、注册表信息和包含凭证的内存,删除创建的帐户并清除系统日志以掩盖他们的踪迹,更改基于主机的防火墙配置以启用对系统的RDP访问并试图窃取内部信息。事实证明,他们只是设法从ActiveDirectory中窃取了与受感染员工帐户和员工身份验证数据相关联的Box文件夹的内容。思科声称,“该事件包含在企业IT环境中,思科未发现对任何思科产品或服务、敏感客户数据或员工信息、思科知识产权或供应链运营有任何影响。”他们在被激活前未能成功部署勒索软件,但他们仍试图向思科勒索赎金,以换取对被盗数据的保密。可以吸取的教训思科于2022年5月24日首次意识到正在进行的网络攻击,但没有说明攻击在此之前持续了多长时间。思科Talos团队详细介绍了网络攻击者获得访问权限、他们在思科企业网络中采取的步骤以及在从网络中移除后重新进入的尝试,并分享入侵迹象以帮助其他企业进行防御和事件响应。“根据获得的工件、识别的战术、技术和程序(TTP)、使用的基础设施以及对这次攻击中使用的后门的全面分析,我们以中高置信度评估这次攻击是由初始访问发起的Agent(IAB)之前被确定与UNC2447和Lapsus$有关联。我们还观察到之前的活动将这个威胁行为者与Y??anluowang勒索软件团伙联系起来,包括使用Yanluowang数据泄露网站发布被盗数据。思科发布的披露和详细报告得到了许多网络安全专家的好评,并突出了安全机制中的一些已知弱点。
