Cisco, bir çalışanın oturum açma bilgilerinin ele geçirilmesinden kaynaklanan bir siber saldırıya uğradığını doğruladı.
Cisco, Mayıs 2022 olayından önemli bir sonuç almadığını söylese de, tahliye edilmeden önce bir süre ağda kalabilen tehdit aktörü farklı olmak için yalvarıyor.
Cisco’ya göre saldırganlar, UNC2447 siber suç çetesine, Lapsus$ tehdit aktör grubuna ve Yanluowang fidye yazılımına bağlı ilk erişim komisyoncuları. (yeni sekmede açılır) operatörler. Bir çalışanın, tarayıcılarıyla senkronize edilen ve tüm giriş verilerini tutan kişisel Google hesabına sızmayı başardılar.
Davetsiz misafiri dışarı itmek
Bundan sonra saldırgan, çalışanın çok faktörlü kimlik doğrulama (MFA) anında iletme bildirimlerini kabul etmesiyle sonuçlanan bir “bir dizi karmaşık sesli kimlik avı saldırısı” gerçekleştirdi.
Bu onlara, Citrix sunucularına ve etki alanı denetleyicilerine yatay olarak taşımak için kullandıkları hedeflenen kullanıcı bağlamında VPN’ye erişim sağladı. Cisco, “Bir dizi Citrix sunucusundan ödün vererek Citrix ortamına taşındılar ve sonunda etki alanı denetleyicilerine ayrıcalıklı erişim elde ettiler” dedi. duyuru (yeni sekmede açılır).
Cisco’ya göre o zaman fark edildiler ve dışarı itildiler. “Tehdit aktörü ortamdan başarılı bir şekilde çıkarıldı ve saldırıyı takip eden haftalarda tekrar tekrar erişim sağlamaya çalışarak kalıcılık sergiledi; Ancak bu girişimler başarısız oldu.”
Şirket ciddi bir zararın olmadığını söylerken, saldırganlar BleeBilgisayar (yeni sekmede açılır), aksini iddia etmek için, NDA’lar, veri dökümleri ve mühendislik çizimleri dahil olmak üzere 3.000’den fazla dosya çaldığını iddia ederek. Veritabanının tamamı 2.75 GB ağırlığında ve gaspçının veri sızıntısı sitesinde yayınlandı.
Cisco, verilerin hassas olmadığını ve güvenliği ihlal edilmiş çalışanın Box klasöründen alındığını iddia ederek hırsızlığı küçümsedi.
“Cisco, Cisco ürünleri veya hizmetleri, hassas müşteri verileri veya hassas çalışan bilgileri, fikri mülkiyet veya tedarik zinciri operasyonları dahil olmak üzere bu olayın bir sonucu olarak işimiz üzerinde herhangi bir etki belirlemedi” dedi.
“10 Ağustos’ta kötü aktörler, bu güvenlik olayından dark web’e bir dosya listesi yayınladılar. Ayrıca sistemlerimizi korumak için ek önlemler aldık ve daha geniş güvenlik topluluğunun korunmasına yardımcı olmak için teknik ayrıntıları paylaşıyoruz.”