„Cisco” patvirtino gegužės ataką ir tai, kad „Yanluowang” išpirkos programinės įrangos grupės nutekėję duomenys buvo pavogti iš jos sistemų.
Rugpjūtį „Cisco” atskleidė saugumo pažeidimą, „Yanluowang” išpirkos reikalaujančių programų gauja gegužės pabaigoje pažeidė įmonės tinklą ir pavogė vidinius duomenis.
Tyrimas, kurį atliko „Cisco Security Incident Response” (CSIRT) ir „Cisco Talos” , atskleidė, kad grėsmės veikėjai gavo „Cisco” darbuotojo prisijungimo duomenis po to, kai jie įgijo asmeninės „Google” paskyros kontrolę, o čia buvo sinchronizuojami aukos naršyklėje išsaugoti kredencialai.
Gavę kredencialus, užpuolikai pradėjo balso sukčiavimo atakas, bandydami apgauti auką, kad ši priimtų užpuoliko pradėtą MFA tiesioginį pranešimą.
Pasiekęs MFA stūmimo priėmimą, užpuolikas turėjo prieigą prie VPN tikslinio vartotojo kontekste. Užpuolikas atliko daugybę sudėtingų balso sukčiavimo atakų, prisidengdamas įvairiomis patikimomis organizacijomis, bandydamas įtikinti auką priimti užpuoliko inicijuotus kelių veiksnių autentifikavimo (MFA) tiesioginius pranešimus. Užpuolikui galiausiai pavyko pasiekti URM stūmimo priėmimą, suteikiant jiems prieigą prie VPN tikslinio vartotojo kontekste.
Pasak Taloso, kai užpuolikas gavo pradinę prieigą, jie užregistravo daugybę naujų įrenginių MFA ir sėkmingai autentifikavo „Cisco VPN”. Tada grėsmės veikėjai gavo teises į administracines privilegijas prieš prisijungdami prie kelių sistemų. Tada grėsmių veikėjai sugebėjo numesti kelis įrankius tiksliniame tinkle, įskaitant nuotolinės prieigos įrankius, tokius kaip „LogMeIn” ir „TeamViewer”, „Cobalt Strike”, „PowerSploit”, „Mimikatz” ir „Impacket”.
Savaitgalį „Cisco” patvirtino, kad duomenys, kuriuos neseniai nutekino „Yanluowang” išpirkos reikalaujančių programų gauja, buvo autentiški ir buvo pavogti iš jos tinklo per gegužės mėnesio įsibrovimą. Tačiau bendrovė atkreipė dėmesį, kad saugumo pažeidimas neturi įtakos verslui, nes pavogtuose duomenyse nėra neskelbtinos informacijos.
„2022 m. rugsėjo 11 d. blogi aktoriai, anksčiau paskelbę failų vardų sąrašą iš šio saugumo incidento tamsiajame žiniatinklyje, paskelbė faktinį tų pačių failų turinį toje pačioje vietoje tamsiajame žiniatinklyje. Šių failų turinys atitinka tai, ką jau nustatėme ir atskleidėme.” rašoma update”, kurį „Cisco” paskelbė 2022 m. rugsėjo 11 d. „Mūsų ankstesnė šio incidento analizė lieka nepakitusi – mes ir toliau nematome jokio poveikio mūsų verslui, įskaitant „Cisco” produktus ar paslaugas, neskelbtinus klientų duomenis ar neskelbtiną darbuotojų informaciją, intelektinę nuosavybę ar tiekimo grandinės operacijas.”
„BleepinComputer”, kuris susisiekė su išpirkos reikalaujančių programų gaujos lyderiu, „Yanluowang” grupė teigia pavogusi 55 GB failų, kuriuose buvo įslaptintų dokumentų, techninių schemų ir šaltinio kodo.
„Cisco” ir toliau neigia, kad grėsmės veikėjai turėjo prieigą prie savo produktų šaltinio kodo.
Neseniai kibernetinio saugumo įmonės „eSentire” tyrėjai sužinojo, kad atakų infrastruktūra, naudojama Cisco įsilaužimams , taip pat buvo panaudota atakuojant aukščiausią „Workforce Management” korporaciją 2022 m. Balandžio mėn.
Ekspertai taip pat spėja, kad išpuolį organizavo grėsmės veikėjas, žinomas kaip mx1r, kuris yra tariamas „Evil Corp” filialo klasterio, pavadinto UNC2165, narys.
