思科今天证实,盐洛网勒索软件集团在 5 月下旬入侵了其公司网络,并且该攻击者试图以在线泄露被盗文件的威胁勒索他们。
该公司透露,攻击者只能从与受感染员工帐户相关联的 Box 文件夹中获取和窃取非敏感数据。
思科发言人告诉:“思科在 2022 年 5 月下旬在我们的公司网络上发生了一起安全事件,我们立即采取行动遏制和根除不良行为者。”
“思科未发现此事件对我们的业务造成任何影响,包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。
“8 月 10 日,不良行为者将此次安全事件中的文件列表发布到了暗网。我们还采取了额外措施来保护我们的系统,并分享技术细节以帮助保护更广泛的安全社区。”
Yanluowang 给 Cisco 的邮件
用于破坏思科网络的被盗员工凭证
Yanluowang 攻击者在劫持员工的个人 Google 帐户(包含从其浏览器同步的凭据)后,使用员工被盗的凭据获得了对思科网络的访问权限。
攻击者通过多因素身份验证 (MFA) 推送通知说服思科员工接受多因素身份验证 (MFA) 推送通知,并通过假冒受信任的支持组织的燕洛网团伙发起的一系列复杂的语音网络钓鱼攻击。
威胁行为者最终诱骗受害者接受其中一个 MFA 通知,并在目标用户的上下文中获得了对 VPN 的访问权限。
一旦他们在公司的企业网络上站稳脚跟,燕洛网运营商就会横向扩展到思杰服务器和域控制器。
“他们进入 Citrix 环境,破坏了一系列 Citrix 服务器,并最终获得了对域控制器的特权访问,”Cisco Talos 说。
在获得域管理员后,他们使用 ntdsutil、adfind 和 secretsdump 等枚举工具收集更多信息,并将一系列有效负载安装到受感染的系统上,包括后门。
最终,思科检测到并从其环境中驱逐了他们,但他们在接下来的几周内继续尝试重新获得访问权限。
“在获得初始访问权限后,威胁参与者进行了各种活动来维护访问权限,最大限度地减少取证伪影,并提高他们对环境中系统的访问级别,”思科 Talos 补充道。
“攻击者已成功从环境中移除并表现出持久性,在攻击后的几周内反复尝试重新获得访问权限;但是,这些尝试均未成功。”
黑客声称从思科窃取数据
上周,思科黑客攻击背后的威胁行为者通过电子邮件向发送了一份据称在攻击期间被盗文件的目录列表。
威胁参与者声称窃取了 2.75GB 的数据,其中包括大约 3,100 个文件。其中许多文件是保密协议、数据转储和工程图纸。
威胁参与者还向ZZQIDC发送了一份在攻击中被盗的经过编辑的 NDA 文件,作为攻击的证据,并“暗示”他们破坏了思科的网络并泄露了文件。
思科违反证明文件
今天,勒索者在他们的数据泄露网站上宣布了思科的违规行为,并发布了之前发送给的相同目录列表。
思科系统上没有部署勒索软件
思科还表示,尽管燕洛网团伙以加密受害者文件而闻名,但它在攻击过程中没有发现勒索软件有效载荷的证据。
“虽然我们在这次攻击中没有观察到勒索软件的部署,但使用的 TTP 与‘勒索软件之前的活动’一致,这是在受害者环境中部署勒索软件之前通常观察到的活动,”思科 Talos 在另一篇博文中补充道。周三。
“我们以中等到高度的信心评估这次攻击是由一个先前被确定为与 UNC2447 网络犯罪团伙、Lapsus$ 威胁行为者组织和 Yanluowang 勒索软件运营商有联系的初始访问代理 (IAB) 的对手进行的。”
烟罗网团伙还声称最近 入侵了否认此次攻击的美国零售商沃尔玛的系统,并告诉,它没有发现勒索软件攻击的证据。
更新:添加了更多关于思科公司网络内燕落网活动的信息。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 思科被燕洛网勒索软件团伙黑进,2.8GB据称被盗
