思科（Cisco）周三證實：今年五月，Yanluowang 勒索軟件團伙入侵了該公司的網(wǎng)絡(luò)，并試圖利用線上泄露的被盜文件索取贖金。即便如此，思科還是堅稱攻擊者僅從與受感染員工賬戶相關(guān)聯(lián)的 Box 文件夾中，獲取并竊取了非敏感數(shù)據(jù)。

思科發(fā)言人在接受?BleepingComputer?采訪時稱，該公司網(wǎng)絡(luò)于 2022 年 5 月下旬經(jīng)歷了一起安全事件，但他們已迅速采取行動、將不良行為者遏制并清除。

思科未發(fā)現(xiàn)此事件對公司的業(yè)務(wù)運營造成任何影響，包括思科產(chǎn)品與服務(wù)、敏感的客戶數(shù)據(jù) / 員工信息、知識產(chǎn)權(quán)、或供應鏈運營。

8 月 10 日，攻擊者將本次安全事件中竊取的文件列表發(fā)布到暗網(wǎng)。

不過我們已經(jīng)采取額外措施來保護公司系統(tǒng)、同時分享了技術(shù)細節(jié)，以幫助保護更廣泛的安全社區(qū)。

據(jù)悉，Yanluowang 攻擊者在劫持了員工的個人 Google 賬戶（包含從起瀏覽器同步的憑據(jù)）后，使用被盜的身份驗證信息獲得了對思科網(wǎng)絡(luò)的訪問權(quán)限。

接著攻擊者利用多因素身份驗證推送通知，來說服思科員工接受 MFA，然后利用假冒受信任的支持組織，發(fā)起一系列復雜的語音網(wǎng)絡(luò)釣魚攻擊。

泄露文件列表（圖 via BleepingComputer）

威脅行為者最終誘騙受害者接受其中一個 MFA 通知，并在目標用戶的上下文內(nèi)容中獲得了對虛擬專用網(wǎng)的訪問權(quán)限。

一在企業(yè)內(nèi)網(wǎng)站穩(wěn)腳跟，Yanluowang 團伙就開始橫向傳播，繼而染指思科的服務(wù)器和域控制器。

思科旗下威脅情報組織 Talos 在調(diào)查后發(fā)現(xiàn)，攻擊者進入了 Citrix 環(huán)境并破壞了一系列服務(wù)器，并最終獲得了對域控制器的特權(quán)訪問。

在獲得域管理員權(quán)限后，黑客又利用 ntdsutil、adfind 和 secretsdump 等枚舉工具收集到了更多信息，從而將一系列有效負載安裝到受感染的系統(tǒng)上（包括后門）。

慶幸的是，思科很快檢測到、并從內(nèi)網(wǎng)環(huán)境中將攻擊者驅(qū)逐了出去。

然而不死心的 Yanluowang 團伙，還是在碰壁后的接下來幾周時間里，不斷嘗試重新獲取訪問權(quán)限。

Talos 補充道：“在獲得初始訪問權(quán)限后，威脅參與者開展了各種活動來維持和提升其在系統(tǒng)中的訪問權(quán)限，并盡最大限度地減少了取證偽影”。

上周，幕后威脅參與者通過電子郵件，向 BleepingComputer 發(fā)送了一份據(jù)稱在攻擊期間被盜取的文件目錄。

該團伙聲稱掌握了 2.75 GB 的數(shù)據(jù)，其中包括大約 3100 個文件，且不少與保密協(xié)議、數(shù)據(jù)轉(zhuǎn)儲和工程圖紙有關(guān)。

為證明數(shù)據(jù)泄露的真實性，它們還向外媒分享了一份經(jīng)過編輯的 NDA 文件。

即便如此，思科方面還是回應稱 —— 盡管 Yanluowang 團伙以加密受害者的文件而臭名昭著，但該公司并未在這輪攻擊過程中發(fā)現(xiàn)有勒索軟件得逞的證據(jù)。

至于幕后黑手的真實身份，Talos 比較肯定它們與先前被確定為 UNC2447 的網(wǎng)絡(luò)犯罪團伙和 Lapsus$ 等有關(guān)。

此外 Yanluowang 最近聲稱入侵了美國零售巨頭沃爾瑪?shù)南到y(tǒng)，但相關(guān)報道并未發(fā)現(xiàn)勒索軟件攻擊的證據(jù)。