思科承認遭到黑客攻擊并猜測與LAPSUS$團伙有關(guān) 被竊文件被發(fā)布到暗網(wǎng)

極客網(wǎng)·企業(yè)級IT 8月15日 全球IT、網(wǎng)絡(luò)和網(wǎng)絡(luò)安全解決方案巨頭思科于8月10日承認，該公司在2022年5月下旬遭受了針對其企業(yè)IT基礎(chǔ)設(shè)施的安全事件。

在網(wǎng)絡(luò)攻擊者控制了一名員工的個人谷歌賬戶后，其憑證被盜用，而保存在其瀏覽器中的數(shù)據(jù)也被同步。網(wǎng)絡(luò)攻擊者將這起安全事件中竊取的文件發(fā)布到了暗網(wǎng)。 

不過該公司表示：“這一安全事件已被控制在我們的企業(yè)IT環(huán)境中，沒有發(fā)現(xiàn)對任何思科產(chǎn)品或服務(wù)、敏感客戶數(shù)據(jù)或員工信息、思科的知識產(chǎn)權(quán)以及供應(yīng)鏈運營造成任何影響?！?/p>

思科聲稱，已經(jīng)采取行動進行遏制并根除網(wǎng)絡(luò)攻擊的侵入，并猜測這可能與臭名昭著的威脅組織LAPSUS$團伙有關(guān)。之所以決定現(xiàn)在公開宣布這起事件，是因為之前正在積極收集有關(guān)不良行為者的信息，以幫助保護安全社區(qū)。 

網(wǎng)絡(luò)攻擊者采用“復(fù)雜的語音網(wǎng)絡(luò)釣魚”策略 

這起安全事故到底是如何發(fā)生的呢？極客網(wǎng)了解到，在這一安全事件的執(zhí)行摘要中，思科安全事件響應(yīng)(CSIRT)團隊Cisco Talos指出：“網(wǎng)絡(luò)攻擊者以各種受信任的組織的名義進行了一系列復(fù)雜的語音網(wǎng)絡(luò)釣魚攻擊，試圖說服受害者接受由攻擊者發(fā)起的多因素身份驗證(MFA)推送通知。攻擊者成功實現(xiàn)了多因素身份驗證（MFA）推送接受，最終授予他們在目標(biāo)用戶場景中訪問VPN的權(quán)限。” 

在獲得初始訪問權(quán)限后，網(wǎng)絡(luò)攻擊者采取了一些措施以維護其訪問權(quán)限，最大限度地減少取證，并提高他們對環(huán)境中系統(tǒng)的訪問級別。 “在整個攻擊過程中，我們觀察到了網(wǎng)絡(luò)攻擊者從環(huán)境中竊取信息的嘗試行為。確認攻擊期間唯一成功的數(shù)據(jù)過濾包括與受損員工帳戶相關(guān)的Box文件夾的內(nèi)容和active directory中的員工身份驗證數(shù)據(jù)。

思科安全團隊繼續(xù)說道，在這種情況下，他們獲得的Box數(shù)據(jù)并不敏感。我們已經(jīng)成功從運營環(huán)境中移除網(wǎng)絡(luò)攻擊者。雖然他們在成功進行網(wǎng)絡(luò)攻擊之后的幾周內(nèi)多次嘗試重新獲得訪問權(quán)限，然而這些嘗試都沒有成功。”

該團隊還指出，網(wǎng)絡(luò)攻擊反復(fù)向與思科的執(zhí)行成員發(fā)送電子郵件尋求通信，但沒有提出任何具體的威脅或勒索要求。也沒有發(fā)現(xiàn)任何證據(jù)表明網(wǎng)絡(luò)攻擊者可以訪問思科關(guān)鍵內(nèi)部系統(tǒng)，例如與產(chǎn)品開發(fā)和代碼簽名相關(guān)的系統(tǒng)。

一起與LAPSUS$威脅團伙相關(guān)的攻擊 

思科以“中等到高度的信心”進行評估，此次攻擊是由一個先前被確定為與UNC2447網(wǎng)絡(luò)犯罪團伙、LAPSUS$威脅參與者團體以及Yanluowang勒索軟件運營商有聯(lián)系的初始訪問代理(IAB)進行的。

思科在一份聲明指出，“在我們的調(diào)查過程中發(fā)現(xiàn)的一些技術(shù)、工具和程序(TTP)_與LAPSUS$的那些TTP相匹配……據(jù)報道，該團伙曾對此前數(shù)起重大的企業(yè)違規(guī)事件負責(zé)。UNC2447是出于經(jīng)濟動機的網(wǎng)絡(luò)攻擊者，此前曾觀察到他們進行勒索軟件攻擊，并利用雙重勒索的技術(shù)。而先前的調(diào)查表明，已經(jīng)觀察到UNC2447采用各種勒索軟件，其中包括FIVEHANDS、HELLOKITTY等?！?nbsp;

然而，思科表示在此次攻擊中沒有觀察到網(wǎng)絡(luò)攻擊者采用或部署勒索軟件。該公司指出，“每次網(wǎng)絡(luò)安全事件都是一次學(xué)習(xí)機會，將會增強我們的應(yīng)變能力，并幫助更廣泛的安全社區(qū)。思科通過觀察網(wǎng)絡(luò)攻擊者采用的技術(shù)、與其他方共享妥協(xié)指標(biāo)(IOC)、與執(zhí)法部門和其他合作伙伴聯(lián)系獲得的情報更新了其安全產(chǎn)品。”

據(jù)悉，思科在事后實施了全公司范圍的密碼重置。 

加強MFA、設(shè)備驗證和網(wǎng)絡(luò)分段以降低風(fēng)險 

思科建議客戶和企業(yè)采取措施降低與此事件相關(guān)的風(fēng)險，包括加強多因素身份驗證（MFA）、設(shè)備驗證和網(wǎng)絡(luò)分段。

同時思科還指出，鑒于網(wǎng)絡(luò)攻擊者在使用多種技術(shù)獲得初始訪問權(quán)限方面表現(xiàn)出的熟練程度，對用戶進行安全教育也是應(yīng)對多因素身份驗證（MFA）繞過技術(shù)的關(guān)鍵部分。與實施多因素身份驗證（MFA）同樣重要的是確保員工接受安全培訓(xùn)，讓他們了解如果在手機上收到錯誤的推送請求采取的應(yīng)對措施以及如何響應(yīng)。如果確實發(fā)生此類事件，還必須讓員工了解與誰聯(lián)系，以幫助確定該事件是技術(shù)問題還是惡意事件。

思科補充說，通過對設(shè)備狀態(tài)實施更嚴格的控制來限制或阻止來自非托管或未知設(shè)備的注冊和訪問，實施強大的設(shè)備驗證將會受益。這其中，網(wǎng)絡(luò)分段是企業(yè)應(yīng)采用的另一項重要安全控制措施，因為它為高價值資產(chǎn)提供了增強的保護，并在網(wǎng)絡(luò)攻擊者能夠獲得對環(huán)境的初始訪問權(quán)限的情況下實現(xiàn)更有效的檢測和響應(yīng)能力。 

思科還指出，集中式日志收集有助于最大程度地減少網(wǎng)絡(luò)攻擊者采取主動措施從系統(tǒng)中刪除日志時導(dǎo)致的可見性不足。確保集中收集端點生成的日志數(shù)據(jù)，并分析異?；蛎黠@的惡意行為，可以在網(wǎng)絡(luò)攻擊發(fā)生時提供一些早期提示。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。