Cisco をハッキングした Yanluowang ランサムウェア:2.8GB のファイルを公開

Cisco hacked by Yanluowang ransomware gang, 2.8GB allegedly stolen

2022/08/10 BleepingComputer — 今日の Cisco の発表によると、5月下旬にランサムウェア・グループ Yanluowang が同社の企業ネットワークを侵害し、盗み出したファイルをオンラインに流出させると、恐喝されているようだ。この攻撃者は、侵害した従業員のアカウントにリンクされた、Boxフォルダから機密性のないデータのみを採取し、盗み出したと、同社は述べている。


Cisco の広報担当者は BleepingComputer に対して、「2022年5月下旬に、当社の企業ネットワークでセキュリティ・インシデントを経験し、直ちに悪質な行為者を封じ込め、根絶するための措置を取った」と語っている。

さらに Cisco は、「このインシデントの結果として、Cisco の製品や、サービス、機密顧客データ、機密従業員情報、知的財産、サプライチェーン業務などの、当社の事業への影響は発見されていない。8月10日に、この脅威アクターは、セキュリティ。インシデントにり流出した、ファイルのリストをダークウェブに公開した。当社は、システムを保護するための追加措置を実施し、より広範なセキュリティ・コミュニティを保護するために、技術的な詳細を共有している」と述べている。

Yanluowang email
Yanluowang email to Cisco

盗まれた従業員の認証情報により Cisco のネットワークに侵入された

驚異アクターである Yanluowang は、従業員のブラウザと同期する認証情報などを含む、従業員個人の Google アカウントをハイジャックした後に、盗み出した認証情報を用いて Cisco のネットワークにアクセスした。

信頼できるサポート組織を装う Yanluowang ギャングが仕掛けた、一連の高度な音声フィッシング攻撃は、Cisco の従業員を騙して、MFA プッシュ通知を受け入れるように仕向けるものだった。最終的に、騙された被害者が MFA 通知の1つを受け入れ、ターゲットユーザーのコンテキストで、攻撃者が VPN にアクセスできるようになった。企業ネットワークに足がかりを得た Yanluowang のオペレーターは、Citrix サーバーとドメインコントローラーへと横展開していった。

Cisco Talos は、「彼らは Citrix 環境に移動し、一連の Citrix サーバーを危険にさらし、最終的は、ドメインコントローラーでの特権的なアクセスを獲得した」と述べている。

ドメイン管理権限を得た攻撃者は、ntdsutil/adfind/secretsdump などの列挙ツールを用いて情報を集め、バックドアを含む一連のペイロードを、侵害されたシステムにインストールしていった。 最終的に、Cisco は攻撃者を検知し、その環境から追い出したが、その後の数週間にわたってアクセスの回復が試みられたという。

Cisco Talos は、「最初のアクセス権を得た後に、脅威アクターはアクセスを維持し、フォレンジック・アーティファクトを最小限に抑え、環境内のシステムへのアクセスレベルを上げるために、さまざまなアクティビティを実施した。脅威アクターを環境から排除すること成功した後にも、繰り返してアクセスを回復しようとする持続性が示されたが、これらの試みは失敗に終わった」と述べている。

Cisco からデータを盗んだと主張するハッカー

先週のことだが、Cisco ハッキングの背後にいる脅威アクターが、攻撃中に盗んだとするファイルのディレクトリ・リストを、BleepingComputer に電子メールで送り届けてきた。

この脅威アクターは、約3,100のファイルで構成される、2.75GB のデータを盗んだと主張している。これらのファイルの多くは、秘密保持契約書/データダンプ/エンジニアリング図面などである。また、脅威アクターは、Cisco のネットワークに侵入してファイルを流出させた証拠として、攻撃で盗んだとする NDA 文書の編集版を BleepingComputer に送り届けた。

Cisco proof-of-breach document
Cisco proof-of-breach document (BleepingComputer)


今日にたって、驚異アクターたちは、データリーク・サイトで Cisco への侵害を発表し、以前 BleepingComputer に送られたものと同じの、ディレクトリ・リストを公開した。

Cisco のシステムにはランサムウェアは配備されていない

その一方で Cisco は、Yanluowang ギャングは被害者のファイルを暗号化することで知られているが、攻撃中にランサムウェアのペイロードは発見されなかったと述べている。

Cisco Talos は、水曜日に発表した別のブログ記事で、「この攻撃では、ランサムウェアの展開は観察されなかったが、使用された TTP は、被害者の環境にランサムウェアを展開する前によく観察される、プレラン・サムウェア・アクティビティと一致していた。この攻撃は、サイバー犯罪組織 UNC2447 および、脅威アクター・グループ Lapsus$、Yanluowang ランサムウェアのオペレーターと関係を持つ、イニシャル・アクセス・ブローカー (IAB) として以前に確認された、敵対者により行われた可能性が、かなり高いと評価している」と述べている。

また、最近のことだが、Yanluowang は Walmart のシステムにも侵入したと主張している。ただし、Walmart は BleepingComputer に対して、ランサムウェア攻撃の証拠は見つからなかったと、この攻撃を否定している。

このところ、深刻な脆弱性を連発している Cisco ですが、Yanluowang ランサムウェアによる攻撃を許してしまったようです。このブログを調べてみたら、2021年12月1日に「Yanluowang ランサムウェアが米国の金融業界を狙っている」という記事がポストされていました。この記事では、「Yanluowang の TTP は、ランサムウェア Thieflock の運用者が使用したものと類似していることから、この脅威アクターが新しいマルウェア・ファミリーに切り替えた可能性もある」と解説しています。よろしければ、ご参照ください。

%d bloggers like this: