Cisco, Yanluowang Ransomware Çetesi Tarafından Hacklendiğini Doğruladı


Yanluowang Fidye Yazılım Çetesi

Ağ ekipmanı uzmanı Cisco Çarşamba günü, saldırganların bir çalışanın web tarayıcılarından senkronize edilen şifreleri içeren kişisel Google hesabını ele geçirmesinin ardından 24 Mayıs 2022’de bir siber saldırının kurbanı olduğunu doğruladı.

Cisco Talos, ayrıntılı bir yazısında, “Cisco VPN’ye ilk erişim, bir Cisco çalışanının kişisel Google hesabının başarılı bir şekilde ele geçirilmesiyle sağlandı,” dedi. “Kullanıcı, Google Chrome aracılığıyla şifre senkronizasyonunu etkinleştirmiş ve Cisco kimlik bilgilerini tarayıcısında saklayarak bu bilgilerin Google hesaplarıyla senkronize edilmesini sağlamıştır.”

Açıklama, Yanluowang fidye yazılımı çetesiyle bağlantılı siber suçlu aktörler olarak geldi. bir dosya listesi yayınladı ihlalden 10 Ağustos’taki veri sızıntısı sitesine.

Talos’a göre, sızdırılan bilgiler, güvenliği ihlal edilen çalışanın hesabıyla ilişkili bir Box bulut depolama klasörünün içeriğini içeriyordu ve herhangi bir değerli veri içermediğine inanılıyor.

Kimlik bilgisi hırsızlığının yanı sıra, saldırganın, kurbanı VPN istemcisine erişim sağlaması için kandırmak için vishing (diğer adıyla sesli kimlik avı) ve çok faktörlü kimlik doğrulama (MFA) yorgunluğu gibi yöntemlere başvurduğu ek bir kimlik avı unsuru da vardı.

Siber güvenlik

MFA yorgunluğu veya hızlı bombalama, tehdit aktörleri tarafından, bir kullanıcının kimlik doğrulama uygulamasını, bırakacakları ve bu nedenle bir saldırganın bir hesaba yetkisiz erişim elde etmesini sağlayacak şekilde push bildirimleriyle doldurması için kullanılan bir tekniğe verilen addır.

Talos, “Saldırgan nihayetinde bir MFA push kabulü elde etmeyi başardı ve onlara hedeflenen kullanıcı bağlamında VPN’ye erişim izni verdi.”

Ortama ilk adımını attıktan sonra, saldırgan MFA için bir dizi yeni cihaz kaydettirdi ve yönetici ayrıcalıklarına yükseldi ve onlara çeşitli sistemlerde oturum açmaları için geniş izinler verdi – bu, Cisco’nun güvenlik ekiplerinin de dikkatini çeken bir eylemdi.

UNC2447 siber suç çetesi, LAPSUS$ tehdit aktörü grubu ve Yanluowang fidye yazılımı operatörleriyle bağları olan bir ilk erişim komisyoncusuna (IAB) atfedilen tehdit aktörü, kendi arka kapı hesaplarını ve kalıcılık mekanizmalarını eklemek için de adımlar attı.

“Agresif” finansal olarak motive olmuş bir Rusya-nexus oyuncusu olan UNC2447, Nisan 2021’de, FIVEHANDS fidye yazılımını düşürmek için SonicWall VPN’deki sıfırıncı gün açığından yararlanarak ortaya çıkarıldı.

Adını Çinli bir tanrıdan alan Yanluowang, Ağustos 2021’den beri ABD, Brezilya ve Türkiye’deki şirketlere karşı kullanılan bir fidye yazılımı çeşididir. Nisan ayının başlarında, şifreleme algoritmasındaki bir kusur Kaspersky’nin kötü amaçlı yazılımı kırmasına ve ücretsiz bir yazılım sunmasına olanak sağladı. kurbanlara yardım etmek için şifre çözücü.

Ayrıca aktörün, LogMeIn ve TeamViewer gibi uzaktan erişim araçları, Cobalt Strike, PowerSploit, Mimikatz ve Impacket gibi saldırgan güvenlik araçları da dahil olmak üzere ağ içindeki sistemlere erişim düzeylerini artırmayı amaçlayan çeşitli araçlar kullandığı söyleniyor.

Siber güvenlik

“Saldırgan, VPN’ye erişim sağladıktan sonra, çevreye daha fazla dönmeye başlamadan önce çok sayıda sistemde oturum açmak için güvenliği ihlal edilmiş kullanıcı hesabını kullanmaya başladı” dedi. “Bir dizi Citrix sunucusundan ödün vererek Citrix ortamına taşındılar ve sonunda etki alanı denetleyicilerine ayrıcalıklı erişim elde ettiler.”

Tehdit aktörlerinin daha sonra, ana bilgisayar tabanlı güvenlik duvarı yapılandırmalarını değiştirerek Uzak Masaüstü Protokolü (RDP) ve Citrix kullanarak ortam içindeki sistemler arasında dosya taşıdıkları ve araç setini, güvenliği ihlal edilmiş ana bilgisayarlarda Genel kullanıcı profili altındaki dizin konumlarında hazırladıkları da gözlemlendi.

Bununla birlikte, hiçbir fidye yazılımı dağıtılmadı. Şirket, “Bu saldırıda fidye yazılımı dağıtımını gözlemlemesek de, kullanılan TTP’ler, fidye yazılımının kurban ortamlarında dağıtımına yol açan yaygın olarak gözlemlenen ‘fidye yazılımı öncesi etkinlik’ ile tutarlıydı” dedi.

Cisco ayrıca saldırganların atıldıktan sonra şirket yöneticileriyle en az üç kez e-posta iletişimi kurmaya çalıştığını ve onları ödemeye çağırdığını ve “olaydan ve bilgi sızıntısından kimsenin haberi olmayacağını” kaydetti. E-posta ayrıca, sızdırılan Box klasörünün dizin listesinin bir ekran görüntüsünü de içeriyordu.

San Jose merkezli şirket, şirket çapında bir parola sıfırlama başlatmanın yanı sıra, olayın ticari operasyonlarını etkilemediğini veya hassas müşteri verilerine, çalışan bilgilerine ve fikri mülkiyete yetkisiz erişime yol açmadığını vurguladı ve “girişimleri başarıyla engellediğini” ekledi. o zamandan beri ağına erişmek için.





Source link