Zephyrnet-logotyp

Cisco bekräftar nätverksintrång via hackat anställd Google-konto

Datum:

Nätverksjätten säger att angripare fick första åtkomst till en anställds VPN-klient via ett äventyrat Google-konto.

Cisco Systems avslöjade detaljer om ett hack i maj av Yanluowang ransomware-gruppen som utnyttjade en komprometterad anställds Google-konto.

Nätverksjätten kallar attacken en "potentiell kompromiss" i ett onsdagsinlägg av företagets egen Cisco Talos hot research arm.

"Under utredningen fastställdes det att en Cisco-anställds autentiseringsuppgifter äventyrades efter att en angripare fått kontroll över ett personligt Google-konto där autentiseringsuppgifter som sparats i offrets webbläsare synkroniserades", skrev Cisco Talos i en lång sammanfattning av attacken.

Infosec Insiders nyhetsbrev

Kriminaltekniska detaljer om attacken får Cisco Talos-forskare att tillskriva attacken till hotgruppen Yanluowang, som de hävdar har kopplingar till både UNC2447 och de ökända Lapsus$-cybergängen.

I slutändan sa Cisco Talos att motståndarna inte var framgångsrika med att distribuera ransomware skadlig programvara, men lyckades penetrera sitt nätverk och plantera en kader av stötande hackningsverktyg och genomföra intern nätverksspaning "som vanligen observerats som ledde fram till utplaceringen av ransomware i offermiljöer."

Överlista MFA för VPN-åtkomst

Kärnan i hacket var angriparens förmåga att äventyra den anställdes Cisco VPN-verktyg och komma åt företagets nätverk med hjälp av den VPN-mjukvaran.

"Initial åtkomst till Cisco VPN uppnåddes genom den framgångsrika kompromissen av en Cisco-anställds personliga Google-konto. Användaren hade aktiverat lösenordssynkronisering via Google Chrome och hade lagrat sina Cisco-uppgifter i sin webbläsare, vilket gjorde att informationen kunde synkroniseras till sitt Google-konto”, skrev Cisco Talos.

Med autentiseringsuppgifter i sin ägo använde angriparna sedan en mängd olika tekniker för att kringgå multifaktorautentiseringen kopplad till VPN-klienten. Ansträngningarna inkluderade röstnätfiske och en typ av attack som kallas MFA-trötthet. Cisco Talos beskriver MFA trötthetsattacktekniken som "processen att skicka en stor volym push-förfrågningar till målets mobila enhet tills användaren accepterar, antingen av misstag eller helt enkelt för att försöka tysta de upprepade push-meddelanden de får."

Smakämnen MFA-spoofing attacker som utnyttjades mot Cisco-anställda var i slutändan framgångsrika och gjorde det möjligt för angriparna att köra VPN-programvaran som Cisco-anställda. "När angriparen hade fått första åtkomst, registrerade de en serie nya enheter för MFA och autentiserades framgångsrikt till Cisco VPN", skrev forskare.

"Angriparen eskalerade sedan till administrativa privilegier, så att de kunde logga in på flera system, vilket varnade vårt Cisco Security Incident Response Team (CSIRT), som sedan svarade på incidenten", sa de.

Verktyg som angripare använde var LogMeIn och TeamViewer och även stötande säkerhetsverktyg som Cobalt Strike, PowerSploit, Mimikatz och Impacket.

Även om MFA anses vara en viktig säkerhetsställning för organisationer, är den långt ifrån hacksäker. Förra månaden, Microsofts forskare avslöjade en massiv Nätfiske kampanj som kan stjäla referenser även om en användare har multi-factor authentication (MFA) aktiverad och hittills har försökt att äventyra mer än 10,000 XNUMX organisationer.

Cisco lyfter fram sin incidentrespons

Som svar på attacken genomförde Cisco en företagsomfattande lösenordsåterställning omedelbart, enligt Cisco Talos-rapporten.

"Våra upptäckter och efterföljande säkerhetsskydd som resulterade från dessa kundengagemang hjälpte oss att bromsa och hålla tillbaka angriparens utveckling", skrev de.

Företaget skapade sedan två Clam AntiVirus-signaturer (Win.Exploit.Kolobko-9950675-0 och Win.Backdoor.Kolobko-9950676-0) som en försiktighetsåtgärd för att desinficera eventuella ytterligare komprometterade tillgångar. Clam AntiVirus Signatures (eller ClamAV) är en plattformsoberoende verktygssats mot skadlig programvara som kan upptäcka en mängd olika skadliga program och virus.

"Hotaktörer använder vanligtvis social ingenjörsteknik för att kompromissa med mål, och trots frekvensen av sådana attacker fortsätter organisationer att möta utmaningar för att mildra dessa hot. Användarutbildning är avgörande för att förhindra sådana attacker, inklusive att se till att anställda känner till de legitima sätt som supportpersonal kommer att kontakta användare så att anställda kan identifiera bedrägliga försök att få tag i känslig information”, skrev Cisco Talos.

plats_img

Senaste intelligens

plats_img