2022年8月10日，思科證實(shí)，Yanluowang網(wǎng)勒索軟件團(tuán)伙在5月下旬就闖入了其公司網(wǎng)絡(luò)，這個(gè)團(tuán)伙威脅要在網(wǎng)上泄露竊取的文件，憑此勒索思科。

該公司透露，攻擊者只能從與一名中招員工的帳戶相關(guān)聯(lián)的Box文件夾中收集和竊取非敏感數(shù)據(jù)。

思科發(fā)言人稱：“2022 年5月下旬思科的公司網(wǎng)絡(luò)上遭遇了一起安全事件，我們立即采取了行動(dòng)，遏制和清除不法分子?！薄?/p>

思科未發(fā)現(xiàn)此事件對(duì)我們的業(yè)務(wù)造成任何影響，包括思科產(chǎn)品或服務(wù)、敏感的客戶數(shù)據(jù)或敏感的員工信息、知識(shí)產(chǎn)權(quán)或供應(yīng)鏈運(yùn)營(yíng)。8月10日，這伙不法分子將這次安全事件中的文件列表發(fā)布到了暗網(wǎng)上。我們還采取了另外的措施來(lái)保護(hù)系統(tǒng)，并共享技術(shù)細(xì)節(jié)，以幫助保護(hù)更廣泛的安全社區(qū)?！?/p>

Yanluowang發(fā)給思科的郵件：

被盜的員工登錄信息被用于闖入思科網(wǎng)絡(luò)

Yanluowang攻擊者在劫持這名員工的個(gè)人Google帳戶（含有從瀏覽器同步而來(lái)的登錄信息）后，使用該員工被盜的登錄信息闖入了思科的網(wǎng)絡(luò)。

攻擊者利用多因素身份驗(yàn)證（MFA）疲勞和一系列錯(cuò)綜復(fù)雜的語(yǔ)音網(wǎng)絡(luò)釣魚(yú)攻擊，成功誘使思科的這名員工接受了MFA推送通知。Yanluowang團(tuán)伙冒充多家受信賴的支持組織，發(fā)動(dòng)了這一系列攻擊。

攻擊者最終誘騙受害者接受了其中一則MFA通知，并獲得了訪問(wèn)該目標(biāo)用戶的VPN的權(quán)限。Yanluowang團(tuán)伙一旦在思科的公司網(wǎng)絡(luò)上站穩(wěn)了腳跟，就橫向移動(dòng)到思杰服務(wù)器和域控制器。

思科Talos聲稱：“攻擊者進(jìn)入了思杰環(huán)境，非法闖入了一系列思杰服務(wù)器，最終獲得了訪問(wèn)域控制器的特權(quán)。”

在獲得域管理員權(quán)限后，攻擊者使用域枚舉工具（比如ntdsutil、adfind和secretsdump）來(lái)收集更多信息，并將一系列有效載荷植入到了受感染的系統(tǒng)上，包括一個(gè)后門(mén)。

最終，思科檢測(cè)到了這伙攻擊者，將他們從其環(huán)境中驅(qū)逐出去，但攻擊者在接下來(lái)幾周繼續(xù)企圖獲取訪問(wèn)權(quán)限。

思科Talos補(bǔ)充道：“在獲得初始訪問(wèn)權(quán)限后，威脅分子實(shí)施了各種活動(dòng)，企圖保持訪問(wèn)權(quán)，最大限度地減少犯罪證據(jù)，并提高對(duì)環(huán)境中其他系統(tǒng)的訪問(wèn)級(jí)別。”

“威脅分子已從環(huán)境中被成功地移除，但依然表現(xiàn)出了持久性，在攻擊后的幾周內(nèi)屢次企圖重新獲得訪問(wèn)權(quán)限，但是這些企圖均未得逞?！?/p>

黑客聲稱從思科竊取了數(shù)據(jù)

上周，攻擊思科的這伙威脅分子通過(guò)電子郵件向外媒BleepingComputer發(fā)來(lái)了一份目錄，目錄列出了據(jù)稱在攻擊期間竊取的文件。

威脅分子聲稱竊取了2.75GB的數(shù)據(jù)，包括大約3100個(gè)文件。其中許多文件是保密協(xié)議、數(shù)據(jù)轉(zhuǎn)儲(chǔ)內(nèi)容和工程技術(shù)圖紙。

威脅分子還向BleepingComputer發(fā)來(lái)了一份在攻擊中竊取的已經(jīng)過(guò)編輯的保密協(xié)議文件，作為攻擊的證據(jù)，并“暗示”他們已闖入了思科的網(wǎng)絡(luò)，并泄露了文件。

證明思科遭到攻擊的文件：

今天，這個(gè)勒索團(tuán)伙在其數(shù)據(jù)泄露網(wǎng)站上宣布了攻擊思科的新聞，還發(fā)布了之前發(fā)給 BleepingComputer 的同一份目錄列表。

勒索軟件未部署在思科的系統(tǒng)上

思科還表示，盡管Yanluowang團(tuán)伙以加密受害者的文件而臭名昭著，但它在攻擊過(guò)程中沒(méi)有發(fā)現(xiàn)勒索軟件有效載荷的證據(jù)。

思科Talos在周三發(fā)表的另一篇博文中補(bǔ)充道：“雖然我們?cè)谶@次攻擊中沒(méi)有看到勒索軟件部署，但對(duì)方采用的策略、技術(shù)和程序（TTP）與‘勒索軟件前活動(dòng)’相一致，勒索軟件前活動(dòng)是在受害者環(huán)境中部署勒索軟件前夕通常能看到的活動(dòng)。”

“我們?cè)u(píng)估后有比較大的把握認(rèn)為，實(shí)施這次攻擊的是之前被認(rèn)為是初始訪問(wèn)代理（IAB）的攻擊者，這伙攻擊者與UNC2447網(wǎng)絡(luò)犯罪團(tuán)伙、Lapsus$威脅分子團(tuán)伙和Yanluowang勒索軟件運(yùn)營(yíng)組織有關(guān)?！?/p>

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/