Ağ ekipmanı uzmanı Cisco Çarşamba günü, saldırganların bir çalışanın web tarayıcılarından senkronize edilen şifreleri içeren kişisel Google hesabını ele geçirmesinin ardından 24 Mayıs 2022’de bir siber saldırının kurbanı olduğunu doğruladı.
Cisco Talos, “Cisco VPN’ye ilk erişim, bir Cisco çalışanının kişisel Google hesabının başarılı bir şekilde ele geçirilmesiyle sağlandı,” söz konusu detaylı bir yazımda. “Kullanıcı, Google Chrome aracılığıyla şifre senkronizasyonunu etkinleştirmiş ve Cisco kimlik bilgilerini tarayıcısında saklayarak bu bilgilerin Google hesaplarıyla senkronize edilmesini sağlamıştır.”
Açıklama, Yanluowang fidye yazılımı çetesiyle ilişkili siber suçlu aktörler olarak geldi. dosya listesi yayınladı ihlalden 10 Ağustos’taki veri sızıntısı sitesine.
Talos’a göre, sızdırılan bilgiler, güvenliği ihlal edilen çalışanın hesabıyla ilişkili bir Box bulut depolama klasörünün içeriğini içeriyordu ve herhangi bir değerli veri içermediğine inanılıyor.
Kimlik bilgisi hırsızlığının yanı sıra, saldırganın, kurbanı VPN istemcisine erişim sağlaması için kandırmak için vishing (diğer adıyla sesli kimlik avı) ve çok faktörlü kimlik doğrulama (MFA) yorgunluğu gibi yöntemlere başvurduğu ek bir kimlik avı unsuru da vardı.
MFA yorgunluğu veya hızlı bombalama, tehdit aktörleri tarafından, bir kullanıcının kimlik doğrulama uygulamasını, bırakacakları ve bu nedenle bir saldırganın bir hesaba yetkisiz erişim elde etmesini sağlayacak şekilde push bildirimleriyle doldurması için kullanılan bir tekniğe verilen addır.
Talos, “Saldırgan nihayetinde bir MFA push kabulü elde etmeyi başardı ve hedeflenen kullanıcı bağlamında VPN’ye erişim izni verdi.”
Ortama ilk adımını attıktan sonra, saldırgan MFA için bir dizi yeni cihaz kaydettirdi ve yönetici ayrıcalıklarına yükseldi ve onlara çeşitli sistemlerde oturum açmaları için geniş izinler verdi – bu, Cisco’nun güvenlik ekiplerinin de dikkatini çeken bir eylemdi.
UNC2447 siber suç çetesi, LAPSUS$ tehdit aktörü grubu ve Yanluowang fidye yazılımı operatörleriyle bağları olan bir ilk erişim komisyoncusuna (IAB) atfedilen tehdit aktörü, kendi arka kapı hesaplarını ve kalıcılık mekanizmalarını eklemek için de adımlar attı.
“Agresif” finansal olarak motive olmuş bir Rusya-nexus oyuncusu olan UNC2447, Nisan 2021’de, FIVEHANDS fidye yazılımını düşürmek için SonicWall VPN’de sıfırıncı gün açığından yararlanarak ortaya çıkarıldı.
Yanluowang, adını bir Çin tanrısıABD, Brezilya ve Türkiye’deki şirketlere karşı kullanılan bir fidye yazılımı çeşididir. Ağustos 2021’den beri. Nisan ayının başlarında, şifreleme algoritmasındaki bir kusur Kaspersky’nin kötü amaçlı yazılımı kır ve kurbanlara yardım etmek için ücretsiz bir şifre çözücü sunun.
Ayrıca aktörün, LogMeIn ve TeamViewer gibi uzaktan erişim araçları, Cobalt Strike, PowerSploit, Mimikatz ve Impacket gibi saldırgan güvenlik araçları da dahil olmak üzere ağ içindeki sistemlere erişim düzeylerini artırmayı amaçlayan çeşitli araçlar kullandığı söyleniyor.
“Saldırgan, VPN’ye erişim sağladıktan sonra, çevreye daha fazla dönmeye başlamadan önce çok sayıda sistemde oturum açmak için güvenliği ihlal edilmiş kullanıcı hesabını kullanmaya başladı” dedi. “Bir dizi Citrix sunucusundan ödün vererek Citrix ortamına taşındılar ve sonunda etki alanı denetleyicilerine ayrıcalıklı erişim elde ettiler.”
Tehdit aktörlerinin daha sonra, ana bilgisayar tabanlı güvenlik duvarı yapılandırmalarını değiştirerek Uzak Masaüstü Protokolü (RDP) ve Citrix kullanarak ortamdaki sistemler arasında dosya taşıdıkları ve araç setini, güvenliği ihlal edilmiş ana bilgisayarlarda Genel kullanıcı profili altındaki dizin konumlarında hazırladıkları da gözlemlendi.
Bununla birlikte, hiçbir fidye yazılımı dağıtılmadı. Şirket, “Bu saldırıda fidye yazılımı dağıtımını gözlemlemesek de, kullanılan TTP’ler, fidye yazılımının kurban ortamlarında dağıtımına yol açan yaygın olarak gözlemlenen ‘fidye yazılımı öncesi etkinlik’ ile tutarlıydı” dedi.
Cisco ayrıca saldırganların atıldıktan sonra şirket yöneticileriyle en az üç kez e-posta iletişimi kurmaya çalıştığını ve onları ödemeye çağırdığını ve “olaydan ve bilgi sızıntısından kimsenin haberi olmayacağını” kaydetti. E-posta ayrıca, sızdırılan Box klasörünün dizin listesinin bir ekran görüntüsünü de içeriyordu.
San Jose merkezli şirket, şirket çapında bir parola sıfırlama başlatmanın yanı sıra stresli olayın ticari operasyonları üzerinde hiçbir etkisi olmadı veya hassas müşteri verilerine, çalışan bilgilerine ve fikri mülkiyete yetkisiz erişimle sonuçlandı ve o zamandan beri ağına erişim girişimlerinin “başarıyla engellendiğini” ekledi.