Mới đây, Cisco xác nhận nhóm ransomware Yanluowang đã xâm phạm mạng công ty của họ vào cuối tháng 5 và đe dọa tống tiền công ty nếu không muốn dữ liệu bị đánh cắp bị lộ trực tuyến.
Công ty cho biết kẻ tấn công chỉ có thể thu thập và đánh cắp dữ liệu không nhạy cảm từ một thư mục Box được liên kết với tài khoản của một nhân viên bị xâm phạm.
Người phát ngôn của Cisco cho biết: “Cisco đã gặp sự cố bảo mật trên mạng công ty vào cuối tháng 5 năm 2022 và đã ngay lập tức hành động để ngăn chặn và tiêu diệt những kẻ tấn công”.
"Sự cố không gây ra bất kỳ tác động nào đến hoạt động kinh doanh của chúng tôi, bao gồm các sản phẩm hoặc dịch vụ, dữ liệu khách hàng hoặc thông tin nhân viên nhạy cảm, sở hữu trí tuệ (intellectual property) hay các hoạt động chuỗi cung ứng”.
“Vào ngày 10 tháng 8, kẻ tấn công đã công khai danh sách các tệp từ sự cố bảo mật lên dark web”. “Chúng tôi cũng đã thực hiện các biện pháp bổ sung để bảo vệ hệ thống của mình”.
Chi tiết vi phạm
Nhóm Yanluowang đã giành được quyền truy cập vào mạng của Cisco bằng cách sử dụng thông tin đăng nhập bị đánh cắp của một nhân viên sau khi chiếm đoạt tài khoản Google cá nhân có chứa thông tin đăng nhập được đồng bộ từ trình duyệt của nhân viên đó.
Kẻ tấn công đã lừa nhân viên của Cisco chấp nhận yêu cầu xác thực đa yếu tố (MFA) thông qua một loạt các cuộc tấn công lừa đảo bằng giọng nói do nhóm Yanluowang mạo danh các tổ chức hỗ trợ đáng tin cậy thực hiện và đã có được quyền truy cập vào VPN của nạn nhân.
Sau đó, kẻ tấn công tiếp tục mở rộng xâm nhập sang các máy chủ Citrix và các domain controller.
Sau khi giành được quyền quản trị miền, chúng sử dụng các công cụ như ntdsutil, adfind và secretdump để thu thập thêm thông tin và cài đặt một loạt phần mềm độc hại, bao gồm cả backdoor, vào các hệ thống bị xâm nhập.
Cisco Talos cho biết thêm: "Sau khi có được quyền truy cập ban đầu, kẻ tấn công đã tiến hành nhiều hoạt động khác nhau để duy trì quyền truy cập, gây cản trở cho việc điều tra ứng cứu sự cố và tăng mức độ truy cập của chúng vào các hệ thống".
Hành động của Cisco
Cisco đã phát hiện và loại bỏ các thành phần độc hại khỏi môi trường của mình. Sau đấy, kẻ tấn công vẫn tiếp tục cố gắng lấy lại quyền truy cập trong những tuần tiếp theo nhưng đều không thành công.
Để giúp các quản trị viên mạng và các chuyên gia bảo mật phát hiện phần mềm độc hại được sử dụng trong cuộc tấn công, Cisco đã tạo ra hai công cụ ClamAV mới [Win.Exploit.Kolobko-9950675-0, Win.Backdoor.Kolobko-9950676-0] để phát hiện backdoor và phát hiện một khai thác Windows đã được sử dụng để leo thang đặc quyền.
Cisco đã đưa ra một số thông tin về backdoor và cách nó được sử dụng để thực thi các lệnh từ xa, nhưng họ không đề cập đến bất kỳ thông tin nào về tệp thực thi dùng để khai thác.
Theo phát hiện trên VirusTotal, khai thác đã lạm dụng CVE-2022-24521, một lỗ hổng leo thang đặc quyền trong Windows Common Log File System Driver, được NSA và CrowdStrike báo cáo cho Microsoft và đã được vá vào tháng 4 năm 2022.
Tin tặc tuyên bố đánh cắp dữ liệu từ Cisco
Tuần trước, những kẻ đứng sau vụ tấn công Cisco đã tiết lộ danh sách thư mục chứa các tệp được cho là bị đánh cắp trong cuộc tấn công.
Chúng cho biết đã đánh cắp 2,75GB dữ liệu, bao gồm khoảng 3.100 tệp. Nhiều tệp trong số này là các thỏa thuận không tiết lộ về dữ liệu và bản vẽ kỹ thuật.
Các tác nhân đe dọa cũng đưa ra một tài liệu NDA bị đánh cắp từ sự cố để làm bằng chứng cho thấy chúng đã xâm phạm mạng của Cisco.
Cisco cho biết không có phần mềm ransomware nào được cài cắm trên các hệ thống của họ: "Mặc dù chúng tôi không phát hiện việc triển khai ransomware trong cuộc tấn công này, nhưng các kỹ thuật được sử dụng giống với ‘hoạt động pre-ransomware’ (hoạt động thường được quan sát trước khi dẫn đến việc triển khai ransomware trong môi trường nạn nhân)".
Gần đây, băng đảng Yanluowang cũng tuyên bố đã xâm nhập hệ thống của nhà bán lẻ Walmart của Mỹ nhưng đã bị họ phủ nhận về vụ tấn công.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Microsoft phát hành Patch Tuesday mới để khắc phục 121 lỗ hổng bao gồm một zero-day đã bị khai thác trong thực tế, 17 lỗ hổng nghiêm trọng cho phép thực thi mã từ xa hoặc leo thang đặc quyền.
Tín nhiệm mạng |Twitter xác nhận một lỗ hổng zero-day hiện đã được vá đã bị lạm dụng để liên kết số điện thoại và email với tài khoản người dùng trên nền tảng này.
Tín nhiệm mạng | 29 mẫu router (bộ định tuyến) khác nhau từ DrayTek bị ảnh hưởng bởi một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa mà không cần xác thực, nếu khai thác thành công, có thể dẫn đến xâm phạm hoàn toàn thiết bị và truy cập trái phép vào mạng của nạn nhân.
Tín nhiệm mạng | Các tác nhân đe dọa ngày càng bắt chước các ứng dụng hợp pháp như Skype, Adobe Reader,... nhằm lợi dụng sự tin tưởng vào các ứng dụng để tăng khả năng tấn công thành công.
Tín nhiệm mạng | Cisco đã phát hành các bản vá để giải quyết tám lỗ hổng bảo mật, ba trong số đó có thể cho phép kẻ tấn công RCE mà không cần xác thực hoặc gây ra từ chối dịch vụ (DoS) trên các thiết bị bị ảnh hưởng.
Tín nhiệm mạng | VMware đã phát hành các bản cập nhật để giải quyết 10 lỗ hổng bảo mật ảnh hưởng đến nhiều sản phẩm có thể bị kẻ xấu lợi dụng để thực hiện các hành động độc hại.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
