思科公司最近透露了5月份 Yanluowang勒索軟件集團(tuán)的黑客攻擊的相關(guān)細(xì)節(jié)，該攻擊其實(shí)是利用了一個(gè)被竊取的員工的谷歌賬戶。

這家網(wǎng)絡(luò)巨頭在該公司自己的Cisco Talos威脅研究部門周三的一篇文章中稱這次攻擊是 "潛在的妥協(xié)"。

Cisco Talos在一份關(guān)于這次攻擊的長篇分析中寫道，在調(diào)查過程中，我們發(fā)現(xiàn)一名思科員工的憑證在攻擊者獲得對谷歌個(gè)人賬戶的控制后被泄露，而受害者瀏覽器中保存的憑證也正在被同步至其他終端。

攻擊的具體細(xì)節(jié)使得思科塔洛斯的研究人員將這次攻擊歸咎于Yanluowang威脅集團(tuán)，他們認(rèn)為該集團(tuán)與UNC2447以及臭名昭著的Lapsus$網(wǎng)絡(luò)組織都有聯(lián)系。

最終，Cisco Talos表示，攻擊者并沒有成功部署勒索惡意軟件，但卻成功地滲透了其網(wǎng)絡(luò)內(nèi)部，植入了一批具有進(jìn)攻性的黑客工具，并進(jìn)行了內(nèi)部網(wǎng)絡(luò)偵察，這是在受害者環(huán)境中部署勒索軟件之前最常見的現(xiàn)象。

通過VPN訪問MFA

黑客進(jìn)行攻擊的關(guān)鍵是能夠獲得目標(biāo)員工的思科VPN工具的使用權(quán)限，并使用該VPN軟件訪問公司的網(wǎng)絡(luò)。

對思科VPN的最初訪問是通過入侵一名思科員工的個(gè)人谷歌賬戶實(shí)現(xiàn)的。該用戶通過谷歌瀏覽器啟用了密碼同步功能，并在瀏覽器中存儲(chǔ)了他們所使用的思科憑證，使這些信息能夠同步到他們的谷歌賬戶。

攻擊者掌握了這些憑證后，使用多種技術(shù)繞過了與VPN客戶端綁定有關(guān)的多因素認(rèn)證。這些攻擊行為包括使用語音釣魚和一種叫做MFA欺騙的攻擊。思科Talos將MFA欺騙攻擊技術(shù)描述為 "向目標(biāo)的移動(dòng)設(shè)備發(fā)送大量的推送請求，直到用戶接受某一個(gè)請求。無論目標(biāo)用戶是意外還是僅僅是為了試圖讓他們的移動(dòng)設(shè)備保持沉默。"

研究人員寫道，針對思科員工利用的MFA欺騙攻擊獲得成功，并最終允許攻擊者以目標(biāo)員工的身份運(yùn)行VPN軟件。一旦攻擊者獲得了軟件的初始訪問權(quán)，他們就會(huì)為MFA注冊一系列新的設(shè)備，并成功認(rèn)證思科VPN。

他們說，攻擊者隨后會(huì)將權(quán)限升級(jí)到管理權(quán)限，允許他們登錄多個(gè)系統(tǒng)，這也提醒了我們的思科安全事件響應(yīng)小組（CSIRT），他們隨后對該事件做出了回應(yīng)。

攻擊者使用的工具包括LogMeIn和TeamViewer，還有進(jìn)攻性安全工具，如Cobalt Strike、PowerSploit、Mimikatz和Impacket。

雖然MFA被認(rèn)為是企業(yè)的一個(gè)基本安全態(tài)勢，但它還遠(yuǎn)不是防止黑客的最有效的防線。上個(gè)月，微軟的研究人員發(fā)現(xiàn)了一個(gè)大規(guī)模的網(wǎng)絡(luò)釣魚活動(dòng)，即使用戶啟用了多因素認(rèn)證（MFA），也可以竊取憑證，迄今為止，已經(jīng)有超過10,000個(gè)組織被攻擊者試圖進(jìn)行入侵。

思科強(qiáng)調(diào)該事件的應(yīng)急響應(yīng)措施

根據(jù)Cisco Talos的報(bào)告，為了應(yīng)對這次的攻擊，思科立即在全公司范圍內(nèi)進(jìn)行了密碼重置。

他們寫道，我們的發(fā)現(xiàn)和隨后由這些客戶提供的安全保護(hù)措施幫助我們減緩和遏制了攻擊者的攻擊進(jìn)展。

該公司隨后創(chuàng)建了兩個(gè)Clam AntiVirus簽名（Win.Exploit.Kolobko-9950675-0和Win.Backdoor.Kolobko-9950676-0）作為預(yù)防措施，對任何有可能受影響的資產(chǎn)進(jìn)行了殺毒。Clam AntiVirus Signatures（或ClamAV）是一個(gè)跨平臺(tái)的反惡意軟件工具包，能夠檢測各種惡意軟件和病毒。

Cisco Talos寫道，威脅者通常使用社會(huì)工程學(xué)技術(shù)來破壞目標(biāo)，這種攻擊很頻繁，組織面臨著減輕這些威脅的重大挑戰(zhàn)。用戶的安全教育對于防止此類的攻擊至關(guān)重要，確保員工知道支持人員與用戶聯(lián)系的方式，方便員工能夠識(shí)別此類獲取敏感信息的欺詐行為。

本文翻譯自：https://threatpost.com/cisco-network-breach-google/180385/如若轉(zhuǎn)載，請注明原文地址。