Sistemlerinin ihlal edildiğini doğruladıktan bir ay sonra, ağ devi Cisco, saldırının Lapsus$ grubu adına gerçekleştirilen başarısız bir fidye yazılımı girişimi olduğunu bildirdi.
Siber suçlular, bir saldırganın bir çalışanın kişisel Google hesabının kontrolünü ele geçirmesiyle başlayan ve kurbanın tarayıcısında kaydedilen kimlik bilgilerinin senkronize edildiği bir sosyal mühendislik saldırısıyla Cisco’nun sistemlerine erişim elde etti. Ardından, bir dizi karmaşık sesli kimlik avı saldırısında, çete kurbanı çok faktörlü kimlik doğrulama (MFA) push bildirimlerini kabul etmeye ikna etti ve sahtekarlara kurbanmış gibi kurumsal VPN’de oturum açma yeteneği verdi.
Oradan, saldırganlar Cisco sistemlerini tehlikeye atabildi, ayrıcalıkları yükseltebildi, uzaktan erişim araçlarını bırakabildi, Cobalt Strike ve diğer saldırgan kötü amaçlı yazılımları dağıtabildi ve sisteme kendi arka kapılarını ekleyebildi.
“Elde edilen eserlere, tanımlanan taktiklere, tekniklere ve prosedürlere (TTP’ler), kullanılan altyapıya ve bu saldırıda kullanılan arka kapının kapsamlı bir analizine dayanarak, bu saldırının, bu saldırının daha önce yapılmış bir düşman tarafından gerçekleştirildiğini orta ila yüksek bir güvenle değerlendiriyoruz. Daha önce hem UNC2447 hem de Lapsus$ ile bağları olan bir ilk erişim komisyoncusu (IAB) olarak tanımlanmıştı,” diye açıkladı Cisco Talos ekibi 11 Eylül güncellemesi Ağustos ihlalinde. “Bu saldırıda fidye yazılımı dağıtımını gözlemlemesek de, kullanılan TTP’ler, fidye yazılımının kurban ortamlarında dağıtımına yol açan yaygın olarak gözlemlenen ‘fidye yazılımı öncesi etkinlik’ ile tutarlıydı.”