思科承認遭到黑客攻擊并猜測與LAPSUS$團伙有關 被竊文件被發(fā)布到暗網

極客網·企業(yè)級IT 8月15日 全球IT、網絡和網絡安全解決方案巨頭思科于8月10日承認，該公司在2022年5月下旬遭受了針對其企業(yè)IT基礎設施的安全事件。

在網絡攻擊者控制了一名員工的個人谷歌賬戶后，其憑證被盜用，而保存在其瀏覽器中的數據也被同步。網絡攻擊者將這起安全事件中竊取的文件發(fā)布到了暗網。 

不過該公司表示：“這一安全事件已被控制在我們的企業(yè)IT環(huán)境中，沒有發(fā)現(xiàn)對任何思科產品或服務、敏感客戶數據或員工信息、思科的知識產權以及供應鏈運營造成任何影響?！?/p>

思科聲稱，已經采取行動進行遏制并根除網絡攻擊的侵入，并猜測這可能與臭名昭著的威脅組織LAPSUS$團伙有關。之所以決定現(xiàn)在公開宣布這起事件，是因為之前正在積極收集有關不良行為者的信息，以幫助保護安全社區(qū)。 

網絡攻擊者采用“復雜的語音網絡釣魚”策略 

這起安全事故到底是如何發(fā)生的呢？極客網了解到，在這一安全事件的執(zhí)行摘要中，思科安全事件響應(CSIRT)團隊Cisco Talos指出：“網絡攻擊者以各種受信任的組織的名義進行了一系列復雜的語音網絡釣魚攻擊，試圖說服受害者接受由攻擊者發(fā)起的多因素身份驗證(MFA)推送通知。攻擊者成功實現(xiàn)了多因素身份驗證（MFA）推送接受，最終授予他們在目標用戶場景中訪問VPN的權限?！?nbsp;

在獲得初始訪問權限后，網絡攻擊者采取了一些措施以維護其訪問權限，最大限度地減少取證，并提高他們對環(huán)境中系統(tǒng)的訪問級別。 “在整個攻擊過程中，我們觀察到了網絡攻擊者從環(huán)境中竊取信息的嘗試行為。確認攻擊期間唯一成功的數據過濾包括與受損員工帳戶相關的Box文件夾的內容和active directory中的員工身份驗證數據。

思科安全團隊繼續(xù)說道，在這種情況下，他們獲得的Box數據并不敏感。我們已經成功從運營環(huán)境中移除網絡攻擊者。雖然他們在成功進行網絡攻擊之后的幾周內多次嘗試重新獲得訪問權限，然而這些嘗試都沒有成功?！?/p>

該團隊還指出，網絡攻擊反復向與思科的執(zhí)行成員發(fā)送電子郵件尋求通信，但沒有提出任何具體的威脅或勒索要求。也沒有發(fā)現(xiàn)任何證據表明網絡攻擊者可以訪問思科關鍵內部系統(tǒng)，例如與產品開發(fā)和代碼簽名相關的系統(tǒng)。

一起與LAPSUS$威脅團伙相關的攻擊 

思科以“中等到高度的信心”進行評估，此次攻擊是由一個先前被確定為與UNC2447網絡犯罪團伙、LAPSUS$威脅參與者團體以及Yanluowang勒索軟件運營商有聯(lián)系的初始訪問代理(IAB)進行的。

思科在一份聲明指出，“在我們的調查過程中發(fā)現(xiàn)的一些技術、工具和程序(TTP)_與LAPSUS$的那些TTP相匹配……據報道，該團伙曾對此前數起重大的企業(yè)違規(guī)事件負責。UNC2447是出于經濟動機的網絡攻擊者，此前曾觀察到他們進行勒索軟件攻擊，并利用雙重勒索的技術。而先前的調查表明，已經觀察到UNC2447采用各種勒索軟件，其中包括FIVEHANDS、HELLOKITTY等?！?nbsp;

然而，思科表示在此次攻擊中沒有觀察到網絡攻擊者采用或部署勒索軟件。該公司指出，“每次網絡安全事件都是一次學習機會，將會增強我們的應變能力，并幫助更廣泛的安全社區(qū)。思科通過觀察網絡攻擊者采用的技術、與其他方共享妥協(xié)指標(IOC)、與執(zhí)法部門和其他合作伙伴聯(lián)系獲得的情報更新了其安全產品。”

據悉，思科在事后實施了全公司范圍的密碼重置。 

加強MFA、設備驗證和網絡分段以降低風險 

思科建議客戶和企業(yè)采取措施降低與此事件相關的風險，包括加強多因素身份驗證（MFA）、設備驗證和網絡分段。

同時思科還指出，鑒于網絡攻擊者在使用多種技術獲得初始訪問權限方面表現(xiàn)出的熟練程度，對用戶進行安全教育也是應對多因素身份驗證（MFA）繞過技術的關鍵部分。與實施多因素身份驗證（MFA）同樣重要的是確保員工接受安全培訓，讓他們了解如果在手機上收到錯誤的推送請求采取的應對措施以及如何響應。如果確實發(fā)生此類事件，還必須讓員工了解與誰聯(lián)系，以幫助確定該事件是技術問題還是惡意事件。

思科補充說，通過對設備狀態(tài)實施更嚴格的控制來限制或阻止來自非托管或未知設備的注冊和訪問，實施強大的設備驗證將會受益。這其中，網絡分段是企業(yè)應采用的另一項重要安全控制措施，因為它為高價值資產提供了增強的保護，并在網絡攻擊者能夠獲得對環(huán)境的初始訪問權限的情況下實現(xiàn)更有效的檢測和響應能力。 

思科還指出，集中式日志收集有助于最大程度地減少網絡攻擊者采取主動措施從系統(tǒng)中刪除日志時導致的可見性不足。確保集中收集端點生成的日志數據，并分析異常或明顯的惡意行為，可以在網絡攻擊發(fā)生時提供一些早期提示。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。