حمله باج افزار Yanluowang به Cisco
شرکت بزرگ تجهیزات شبکه Cisco روز چهارشنبه 19 مرداد تایید کرد که قربانی یک حمله سایبری در 24 مه 2022 (4 اسفند 1400) پس از اینکه مهاجمان به حساب Google شخصی یکی از کارمندان که حاوی رمزهای عبور همگامسازی شده از مرورگر وب آنها بود، دست یافتند.
Cisco Talos در یک گزارش دقیق گفت: «دسترسی اولیه به Cisco VPN از طریق در اختیار گرفتن موفقیت آمیز حساب Google شخصی یک کارمند Cisco به دست آمد. “کاربر همگام سازی رمز عبور از طریق Google Chrome را فعال کرده بود و اعتبار Cisco خود را در مرورگر خود ذخیره کرده بود و این امکان را برای همگام سازی اطلاعات با حساب Google خود فراهم می کرد.”
این افشاگری در حالی صورت میگیرد که بازیگران مجرم سایبری مرتبط با باجافزار *Yanluowang فهرستی از فایلهای مربوط به این نقض را به سایت نشت دادههای خود در 10 اوت(19 مرداد 1401) منتشر کردند.
به گفته Talos، اطلاعات استخراجشده شامل محتویات یک پوشه ذخیرهسازی ابری Box بود که با حساب کارمند آسیبدیده مرتبط بود و گمان نمیرود حاوی دادههای ارزشمندی باشد.
علاوه بر سرقت مدارک، یک عنصر اضافی از فیشینگ نیز وجود داشت که در آن مهاجم به روشهایی مانند vishing (معروف به فیشینگ صوتی) و احراز هویت چند عاملی (MFA) برای فریب قربانی برای دسترسی به مشتری VPN متوسل شد.
MFA fatigue یا prompt bombing (بمباران سریع) نام تکنیکی است که توسط عوامل تهدید استفاده می شود تا برنامه احراز هویت کاربر را با اعلان های زوری پر کنند به این امید که آنها تسلیم شوند و بنابراین مهاجم را قادر می سازد تا دسترسی غیرمجاز به یک حساب کاربری داشته باشد.
Talosخاطرنشان کرد: «مهاجم در نهایت موفق به دستیابی به پذیرش فشار MFA شد و به آنها اجازه دسترسی به VPN در زمینه کاربر مورد نظر را داد.
پس از ایجاد جایگاه اولیه در محیط، مهاجم به سمت ثبت مجموعه ای از دستگاه های جدید برای MFA حرکت کرد و به امتیازات اداری افزایش یافت و به آنها مجوزهای گسترده ای برای ورود به چندین سیستم داد – اقدامی که توجه تیم های امنیتی Cisco را نیز به خود جلب کرد.
علاوه بر این، گفته میشود که این مهاجم ابزارهای مختلفی از جمله ابزارهای دسترسی از راه دور مانند LogMeIn و TeamViewer، ابزارهای امنیتی تهاجمی مانند Cobalt Strike، PowerSploit، Mimikatz و Impacket را با هدف افزایش سطح دسترسی خود به سیستمهای درون شبکه به کار گرفته است.
پس از ایجاد دسترسی به VPN، مهاجمان شروع به استفاده از حساب کاربری در معرض خطر برای ورود به سیستم های زیادی قبل از شروع به چرخش بیشتر در محیط کرد. آنها به محیط Citrix رفته و تعدادی از سرورهای Citrix را به خطر انداختند و در نهایت دسترسی ممتاز به کنترلکنندههای دامنه را به دست آوردند.
عاملهای تهدید همچنین، فایلها را بین سیستمهای داخل محیط با استفاده از پروتکل دسکتاپ از راه دور (RDP) و Citrix با تغییر پیکربندیهای فایروال مبتنی بر میزبان، جابجا میکنند.
سیسکو در ادامه خاطرنشان کرد که هیچ باج افزاری مستقر نشده است و این حادثه هیچ تاثیری بر عملیات تجاری یا منجر به دسترسی غیرمجاز به دادههای حساس مشتری، اطلاعات کارکنان و مالکیت معنوی نداشته است.
* Yanluowang که از نام یک خدای چینی نامگذاری شده، یک نوع باجافزار است که از اوت 2021 علیه شرکتهای ایالات متحده، برزیل و ترکیه استفاده شده است. اوایل آوریل امسال، نقصی در الگوریتم رمزگذاری آن، Kaspersky را قادر ساخت تا بدافزار را بشکند و یک نرم افزار رایگان رمزگشا برای کمک به قربانیان ارائه دهد.
منبع:
