Cisco bugün, Yanluowang fidye yazılımı grubunun Mayıs ayı sonlarında şirket ağını ihlal ettiğini ve aktörün çalıntı dosyaları çevrimiçi olarak sızdırma tehdidi altında onları gasp etmeye çalıştığını doğruladı.
Şirket, saldırganların yalnızca güvenliği ihlal edilmiş bir çalışanın hesabına bağlı bir Box klasöründen hassas olmayan verileri toplayıp çalabileceğini açıkladı.
Bir Cisco sözcüsü BleepingComputer’a verdiği demeçte, “Cisco, Mayıs 2022’nin sonlarında kurumsal ağımızda bir güvenlik olayı yaşadı ve kötü aktörleri kontrol altına almak ve ortadan kaldırmak için hemen harekete geçtik.”
“Cisco, Cisco ürünleri veya hizmetleri, hassas müşteri verileri veya hassas çalışan bilgileri, fikri mülkiyet veya tedarik zinciri operasyonları dahil olmak üzere bu olayın sonucunda işimiz üzerinde herhangi bir etki belirlemedi.
“10 Ağustos’ta kötü aktörler, bu güvenlik olayından dark web’e bir dosya listesi yayınladı. Ayrıca sistemlerimizi korumak için ek önlemler uyguladık ve daha geniş güvenlik topluluğunun korunmasına yardımcı olmak için teknik ayrıntıları paylaşıyoruz.”
Cisco’nun ağını ihlal etmek için kullanılan çalıntı çalışan kimlik bilgileri
Yanluowang tehdit aktörleri, çalışanın tarayıcılarından senkronize edilen kimlik bilgilerini içeren kişisel Google hesabını ele geçirdikten sonra, bir çalışanın çalınan kimlik bilgilerini kullanarak Cisco’nun ağına erişim elde etti.
Saldırgan, Cisco çalışanını, MFA yorgunluğu ve güvenilir destek kuruluşlarının kimliğine bürünen Yanluowang çetesi tarafından başlatılan bir dizi karmaşık sesli kimlik avı saldırısı yoluyla çok faktörlü kimlik doğrulama (MFA) push bildirimlerini kabul etmeye ikna etti.
Tehdit aktörleri sonunda kurbanı MFA bildirimlerinden birini kabul etmesi için kandırdı ve hedeflenen kullanıcı bağlamında VPN’ye erişim kazandı.
Yanluowang operatörleri, şirketin kurumsal ağında bir yer edindikten sonra yanal olarak Citrix sunucularına ve etki alanı denetleyicilerine yayıldı.
Cisco Talos, “Bir dizi Citrix sunucusundan ödün vererek Citrix ortamına taşındılar ve sonunda etki alanı denetleyicilerine ayrıcalıklı erişim elde ettiler.” Dedi.
Etki alanı yöneticisi olduktan sonra, daha fazla bilgi toplamak için ntdsutil, adfind ve secretsdump gibi numaralandırma araçlarını kullandılar ve bir arka kapı da dahil olmak üzere güvenliği ihlal edilmiş sistemlere bir dizi veri yükü yüklediler.
Sonunda, Cisco onları tespit etti ve ortamından çıkardı, ancak sonraki haftalarda tekrar erişim sağlamaya çalışmaya devam ettiler.
Cisco Talos, “İlk erişim elde edildikten sonra, tehdit aktörü erişimi sürdürmek, adli yapıları en aza indirmek ve ortamdaki sistemlere erişim düzeylerini artırmak için çeşitli faaliyetler gerçekleştirdi.”
“Tehdit aktörü ortamdan başarılı bir şekilde çıkarıldı ve kalıcılık sergiledi, saldırıyı takip eden haftalarda tekrar tekrar erişim sağlamaya çalıştı; ancak bu girişimler başarısız oldu.”
Bilgisayar korsanları Cisco’dan veri çaldığını iddia ediyor
Geçen hafta, Cisco saldırısının arkasındaki tehdit aktörü, saldırı sırasında çalındığı iddia edilen dosyaların bir dizin listesini BleepingComputer’a e-postayla gönderdi.
Tehdit aktörü, yaklaşık 3.100 dosyadan oluşan 2.75 GB veri çaldığını iddia etti. Bu dosyaların çoğu ifşa etmeme anlaşmaları, veri dökümleri ve mühendislik çizimleridir.
Tehdit aktörleri ayrıca, saldırıda çalınan, yeniden düzenlenmiş bir NDA belgesini BleepingComputer’a, saldırının kanıtı ve Cisco’nun ağını ihlal ettiklerine ve dosyaları sızdırdıklarına dair bir “ipucu” olarak gönderdiler.
Bugün şantajcılar Cisco ihlalini duyurdu veri sızıntısı sitesinde ve daha önce BleepingComputer’a gönderilen aynı dizin listesini yayınladı.
Cisco’nun sistemlerine fidye yazılımı dağıtılmadı
Cisco ayrıca, Yanluowang çetesinin kurbanlarının dosyalarını şifrelediği bilinmesine rağmen, saldırı sırasında fidye yazılımı yüklerine dair hiçbir kanıt bulamadığını söyledi.
Cisco Talos, “Bu saldırıda fidye yazılımı dağıtımını gözlemlemesek de, kullanılan TTP’ler, fidye yazılımının kurban ortamlarında dağıtılmasına yol açan yaygın olarak gözlemlenen etkinlik olan ‘fidye yazılımı öncesi etkinlik’ ile tutarlıydı.” katma Çarşamba günü yayınlanan ayrı bir blog yazısında.
“Bu saldırının daha önce UNC2447 siber suç çetesi, Lapsus$ tehdit aktörü grubu ve Yanluowang fidye yazılımı operatörleriyle bağlantıları olan bir ilk erişim komisyoncusu (IAB) olarak tanımlanan bir düşman tarafından gerçekleştirildiğini orta ila yüksek düzeyde güvenle değerlendiriyoruz.”
Yanluowang çetesi de yakın zamanda sistemlerini ihlal ettiğini iddia etti. Saldırıyı yalanlayan Amerikalı perakendeci WalmartBleepingComputer’a fidye yazılımı saldırısına dair hiçbir kanıt bulamadığını söyleyerek.
Güncelleme: Cisco’nun kurumsal ağındaki Yanluowang etkinliği hakkında daha fazla bilgi eklendi.