思科公司最近透露了5月份 Yanluowang勒索軟件集團的黑客攻擊的相關細節，該攻擊其實是利用了一個被竊取的員工的谷歌賬戶。

這家網絡巨頭在該公司自己的Cisco Talos威脅研究部門周三的一篇文章中稱這次攻擊是 "潛在的妥協"。

Cisco Talos在一份關于這次攻擊的長篇分析中寫道，在調查過程中，我們發現一名思科員工的憑證在攻擊者獲得對谷歌個人賬戶的控制后被泄露，而受害者瀏覽器中保存的憑證也正在被同步至其他終端。

攻擊的具體細節使得思科塔洛斯的研究人員將這次攻擊歸咎于Yanluowang威脅集團，他們認為該集團與UNC2447以及臭名昭著的Lapsus$網絡組織都有聯系。

最終，Cisco Talos表示，攻擊者并沒有成功部署勒索惡意軟件，但卻成功地滲透了其網絡內部，植入了一批具有進攻性的黑客工具，并進行了內部網絡偵察，這是在受害者環境中部署勒索軟件之前最常見的現象。

通過VPN訪問MFA

黑客進行攻擊的關鍵是能夠獲得目標員工的思科VPN工具的使用權限，并使用該VPN軟件訪問公司的網絡。

對思科VPN的最初訪問是通過入侵一名思科員工的個人谷歌賬戶實現的。該用戶通過谷歌瀏覽器啟用了密碼同步功能，并在瀏覽器中存儲了他們所使用的思科憑證，使這些信息能夠同步到他們的谷歌賬戶。

攻擊者掌握了這些憑證后，使用多種技術繞過了與VPN客戶端綁定有關的多因素認證。這些攻擊行為包括使用語音釣魚和一種叫做MFA欺騙的攻擊。思科Talos將MFA欺騙攻擊技術描述為 "向目標的移動設備發送大量的推送請求，直到用戶接受某一個請求。無論目標用戶是意外還是僅僅是為了試圖讓他們的移動設備保持沉默。"

研究人員寫道，針對思科員工利用的MFA欺騙攻擊獲得成功，并最終允許攻擊者以目標員工的身份運行VPN軟件。一旦攻擊者獲得了軟件的初始訪問權，他們就會為MFA注冊一系列新的設備，并成功認證思科VPN。

他們說，攻擊者隨后會將權限升級到管理權限，允許他們登錄多個系統，這也提醒了我們的思科安全事件響應小組（CSIRT），他們隨后對該事件做出了回應。

攻擊者使用的工具包括LogMeIn和TeamViewer，還有進攻性安全工具，如Cobalt Strike、PowerSploit、Mimikatz和Impacket。

雖然MFA被認為是企業的一個基本安全態勢，但它還遠不是防止黑客的最有效的防線。上個月，微軟的研究人員發現了一個大規模的網絡釣魚活動，即使用戶啟用了多因素認證（MFA），也可以竊取憑證，迄今為止，已經有超過10,000個組織被攻擊者試圖進行入侵。

思科強調該事件的應急響應措施

根據Cisco Talos的報告，為了應對這次的攻擊，思科立即在全公司范圍內進行了密碼重置。

他們寫道，我們的發現和隨后由這些客戶提供的安全保護措施幫助我們減緩和遏制了攻擊者的攻擊進展。

該公司隨后創建了兩個Clam AntiVirus簽名（Win.Exploit.Kolobko-9950675-0和Win.Backdoor.Kolobko-9950676-0）作為預防措施，對任何有可能受影響的資產進行了殺毒。Clam AntiVirus Signatures（或ClamAV）是一個跨平臺的反惡意軟件工具包，能夠檢測各種惡意軟件和病毒。

Cisco Talos寫道，威脅者通常使用社會工程學技術來破壞目標，這種攻擊很頻繁，組織面臨著減輕這些威脅的重大挑戰。用戶的安全教育對于防止此類的攻擊至關重要，確保員工知道支持人員與用戶聯系的方式，方便員工能夠識別此類獲取敏感信息的欺詐行為。

本文翻譯自：https://threatpost.com/cisco-network-breach-google/180385/如若轉載，請注明原文地址。