سیسکو پس از حمله موفق فیشینگ از فاجعه سایبری جلوگیری می کند

سیسکو فاش کرده است که با یک حادثه سایبری بالقوه مخرب مبارزه کرده است که پس از انجام یک تهدید توسط یک بازیگر تهدید کننده رخ داده است. حمله فیشینگ یکی از کارمندانش با سوء استفاده از حساب شخصی گوگل خود برای دسترسی به شبکه آن.

تامین‌کننده سخت‌افزار شبکه گفت که مهاجم احتمالاً یک کارگزار دسترسی اولیه (IAB) با پیوندهایی به باند جنایت سایبری UNC2447، یک اپراتور باج‌افزار چینی معروف به Yanluowang و گروه Lapsus$ – گروهی از نوجوانان است که از نقص‌های احراز هویت چند عاملی سوء استفاده می‌کنند. وزارت امور خارجه) برای هدف قرار دادن چندین شرکت فناوری در اوایل سال جاری.

سیسکو فاش کرد که در 10 آگوست پس از ظاهر شدن نامش در سایت تاریک وب Yangluowang (تصویر زیر را ببینید) مورد حمله قرار گرفته بود، اما این حمله بیش از دو ماه پیش در 24 مه، از زمانی که سازمان داخلی Cisco Security Incident Response (CSIRT) آشکار شد. و واحد سایبری Cisco Talos آن برای اصلاح آن کار کرده اند.

#yanluowang باج افزار منتشر کرده است #سیسکو به محل نشت آن #امنیت سایبری #infosec #باج افزار pic.twitter.com/kwrfjbwbkT

– CyberKnow (@Cyberknow20)
10 آگوست 2022

تیم Talos گفت: “در طول تحقیقات، مشخص شد که اعتبار یک کارمند Cisco پس از اینکه یک مهاجم کنترل یک حساب شخصی Google را که در آن اطلاعات ذخیره شده در مرورگر قربانی همگام سازی شده بود به دست آورد، به خطر افتاد.” در اطلاعیه افشای خود.

” مهاجم [then] انجام یک سری از پیچیده است فیشینگ صوتی حملات تحت پوشش سازمان‌های مورد اعتماد مختلف که تلاش می‌کنند قربانی را متقاعد کنند که اعلان‌های فشار وزارت دفاع آمریکا (MFA) را که توسط مهاجم آغاز شده است بپذیرد.

مهاجم در نهایت موفق شد به پذیرش فشار MFA دست یابد و به آنها اجازه دسترسی به [the] VPN در زمینه کاربر مورد نظر.”

مهاجم پس از دستیابی به دسترسی، فعالیت های مختلفی را برای دستیابی به پایداری، پوشش مسیرهای خود و ارتقای امتیازات خود در شبکه سیسکو انجام داد. آنها توانستند به محیط Citrix سیسکو بروند، تعدادی از سرورها را به خطر بیاندازند و دسترسی ممتازی به کنترل کننده های دامنه به دست آورند.

در نهایت، آنها با موفقیت توانستند محتویات یک پوشه Box مرتبط با حساب کارمند در معرض خطر و داده های احراز هویت کارمند را از Active Directory استخراج کنند.

پس از شناسایی و حذف از شبکه، عامل تهدید بارها و بارها تلاش کرد تا با هدف قرار دادن کارمندانی که گمان می‌کردند پس از بازنشانی اعتبار اجباری در سراسر سیسکو، تغییرات تک شخصیتی را در رمزهای عبور خود ایجاد کرده‌اند، دوباره دسترسی پیدا کند. آنها در این امر ناموفق بودند.

بازیگر تهدید همچنین سعی کرد به کارکنان سطح بالای سیسکو ایمیل بزند و تهدید به افشای اطلاعات دزدیده شده از Box کند، اما آنها هیچ تهدید یا درخواست خاصی برای اخاذی نداشتند.

در واقع هیچ باج افزاری در هیچ نقطه ای مستقر نشده بود و CSIRT و Talos گفتند که هیچ مدرکی دال بر دسترسی مهاجم به سیستم های حیاتی پیدا نکرده اند.

سیسکو در بیانیه‌ای گفت: «این حادثه مربوط به محیط فناوری اطلاعات شرکت‌ها بود و سیسکو هیچ تأثیری بر هیچ‌یک از محصولات یا خدمات سیسکو، داده‌های حساس مشتری یا اطلاعات کارکنان، مالکیت معنوی سیسکو یا عملیات زنجیره تأمین شناسایی نکرد.»

“بدون مشتری [or] اقدام شریک برای محصولات یا خدمات Cisco لازم است. سیسکو محصولات امنیتی خود را با اطلاعات به دست آمده از مشاهده تکنیک های بازیگر بد به روز کرده است. [IOCs] با سایر احزاب، با مجریان قانون و سایر شرکا تماس گرفت و جزئیات فنی بیشتر را از طریق a وبلاگ تالوس برای کمک به مدافعان سایبری که از مشاهدات ما یاد بگیرند.»

وی افزود: سیسکو دارای قابلیت های نظارت و اصلاح فناوری اطلاعات گسترده ای است. ما از این قابلیت‌ها برای اجرای حفاظت‌های اضافی، مسدود کردن هرگونه تلاش برای دسترسی غیرمجاز و کاهش تهدید امنیتی استفاده کرده‌ایم. ما همچنین تأکید بیشتری بر بهداشت امنیت سایبری کارکنان و بهترین شیوه‌ها برای جلوگیری از موارد مشابه در آینده داریم.»

ایمونی وب ایلیا کولوچنکو، بنیانگذار و مدیر عامل شرکت سیسکو گفت که در این مناسبت، سیسکو خوش شانس بوده است: «فروشندگان امنیت سایبری و فناوری اکنون به دلایل مختلف به طور گسترده توسط عوامل تهدید پیچیده هدف قرار می گیرند.

اولاً، فروشندگان معمولاً دسترسی ممتازی به مشتریان سازمانی و دولتی خود دارند و بنابراین می توانند درها را به روی حملات زنجیره تأمین نامرئی و فوق کارآمد باز کنند.

ثانیاً، فروشندگان اغلب اطلاعات ارزشمندی درباره تهدیدات سایبری دارند: افراد شرور به شدت انگیزه دارند تا عملیات ضد جاسوسی را انجام دهند، با این هدف که با تحقیقات خود و حملات پلیس آتی متوجه شوند که مجری قانون و فروشندگان خصوصی کجا هستند.

سوم، برخی از فروشندگان هدف بسیار جذابی هستند زیرا دارای جدیدترین ابزارها و تکنیک‌های DFIR هستند که برای شناسایی نفوذها و کشف مجرمان سایبری استفاده می‌شوند، در حالی که برخی دیگر از فروشندگان ممکن است از آسیب‌پذیری‌های روز صفر یا حتی کد منبع نرم‌افزارهای جاسوسی پیچیده بهره‌برداری کنند. می تواند بعداً علیه قربانیان جدید استفاده شود یا در وب تاریک فروخته شود.

کولوچنکو افزود: «با توجه به آنچه گفته شد، ما برای حجم و پیچیدگی مداوم حملات سایبری که شرکت‌های فناوری، یعنی فروشندگان امنیتی را هدف قرار می‌دهند، آماده خواهیم شد.»