思科最近披露了烟洛网勒索软件组织在5月份使用一名受感染员工的谷歌账户进行黑客攻击的细节。这家网络巨头在该公司自己的CiscoTalos威胁研究部门周三发表的一篇文章中称这次攻击是“潜在的妥协”。CiscoTalos在对这次攻击的长篇分析中写道,在调查过程中,我们发现在攻击者获得个人Google帐户的控制权后,一名Cisco员工的凭证被泄露,而受害者的浏览器保存的凭证也正在同步到其他端点。此次攻击的具体细节让CiscoTalos研究人员将此次攻击归因于燕螺网威胁组织,他们认为该组织与UNC2447以及臭名昭著的Lapsus$网络组织有关。最终,思科Talos表示,攻击者并没有成功部署勒索软件,而是设法渗透到其网络中,植入一系列攻击性黑客工具并进行内网侦察,这是受害者在部署勒索软件之前最常见的现象环境中的勒索软件。通过VPN访问进行MFA黑客攻击的关键是能够访问目标员工的CiscoVPN工具并使用该VPN软件访问公司网络。对思科VPN的初始访问是通过入侵思科员工的个人Google帐户实现的。用户通过谷歌浏览器启用了密码同步,并将他们使用的思科凭据存储在浏览器中,使他们能够同步到他们的谷歌账户。有了这些凭据,攻击者使用各种技术绕过与VPN客户端绑定相关的多因素身份验证。这些攻击包括使用语音网络钓鱼和称为MFA欺骗的攻击。CiscoTalos将MFA欺骗攻击技术描述为“向目标的移动设备发送大量推送请求,直到用户接受请求。无论目标用户是无意的还是只是试图让他们的移动设备静音”。研究人员写道,针对思科员工的MFA欺骗攻击是成功的,并最终允许攻击者以目标员工的身份运行VPN软件。一旦攻击者获得了对软件的初始访问权限,他们就为MFA注册了一组新设备并成功验证了CiscoVPN。他们表示,攻击者随后会将他们的权限提升为管理权限,从而允许他们登录多个系统,这也提醒了我们的思科安全事件响应团队(CSIRT),该团队随后对该事件做出了响应。攻击者使用的工具包括LogMeIn和TeamViewer,以及CobaltStrike、PowerSploit、Mimikatz和Impacket等攻击性安全工具。虽然MFA被认为是企业的基本安全态势,但它远非抵御黑客攻击的最有效防线。上个月,微软研究人员发现了一场大规模的网络钓鱼活动,即使用户启用了多重身份验证(MFA),该活动也会窃取用户的凭据,到目前为止,攻击者已尝试攻击10,000多家组织。思科强调事件的应急响应措施据思科Talos报告,为应对此次攻击,思科立即在全公司范围内进行了密码重置。他们写道:“我们的发现和这些客户提供的后续安全保护帮助我们减缓并遏制了攻击者的进展。”该公司随后创建了两个ClamAntiVirus签名(Win.Exploit.Kolobko-9950675-0和Win.Backdoor.Kolobko-9950676-0),作为清理任何可能受影响的资产的预防措施。ClamAntiVirusSignatures(或ClamAV)是一个跨平台的反恶意软件工具包,能够检测各种恶意软件和病毒。思科Talos写道,威胁行为者经常使用社会工程技术来破坏目标,此类攻击很频繁,组织在缓解这些威胁方面面临重大挑战。用户的安全教育对于防止此类攻击至关重要,确保员工知道支持人员如何联系用户,以便员工能够识别此类获取敏感信息的欺诈企图。本文翻译自:https://threatpost.com/cisco-network-breach-google/180385/如有转载请注明原文地址。
