Cisco hacked by Yanluowang ransomware gang, 2.8GB allegedly stolen
2022/08/10 BleepingComputer — 今日の Cisco の発表によると、5月下旬にランサムウェア・グループ Yanluowang が同社の企業ネットワークを侵害し、盗み出したファイルをオンラインに流出させると、恐喝されているようだ。この攻撃者は、侵害した従業員のアカウントにリンクされた、Boxフォルダから機密性のないデータのみを採取し、盗み出したと、同社は述べている。

Cisco の広報担当者は BleepingComputer に対して、「2022年5月下旬に、当社の企業ネットワークでセキュリティ・インシデントを経験し、直ちに悪質な行為者を封じ込め、根絶するための措置を取った」と語っている。
さらに Cisco は、「このインシデントの結果として、Cisco の製品や、サービス、機密顧客データ、機密従業員情報、知的財産、サプライチェーン業務などの、当社の事業への影響は発見されていない。8月10日に、この脅威アクターは、セキュリティ。インシデントにり流出した、ファイルのリストをダークウェブに公開した。当社は、システムを保護するための追加措置を実施し、より広範なセキュリティ・コミュニティを保護するために、技術的な詳細を共有している」と述べている。

盗まれた従業員の認証情報により Cisco のネットワークに侵入された
驚異アクターである Yanluowang は、従業員のブラウザと同期する認証情報などを含む、従業員個人の Google アカウントをハイジャックした後に、盗み出した認証情報を用いて Cisco のネットワークにアクセスした。
信頼できるサポート組織を装う Yanluowang ギャングが仕掛けた、一連の高度な音声フィッシング攻撃は、Cisco の従業員を騙して、MFA プッシュ通知を受け入れるように仕向けるものだった。最終的に、騙された被害者が MFA 通知の1つを受け入れ、ターゲットユーザーのコンテキストで、攻撃者が VPN にアクセスできるようになった。企業ネットワークに足がかりを得た Yanluowang のオペレーターは、Citrix サーバーとドメインコントローラーへと横展開していった。
Cisco Talos は、「彼らは Citrix 環境に移動し、一連の Citrix サーバーを危険にさらし、最終的は、ドメインコントローラーでの特権的なアクセスを獲得した」と述べている。
ドメイン管理権限を得た攻撃者は、ntdsutil/adfind/secretsdump などの列挙ツールを用いて情報を集め、バックドアを含む一連のペイロードを、侵害されたシステムにインストールしていった。 最終的に、Cisco は攻撃者を検知し、その環境から追い出したが、その後の数週間にわたってアクセスの回復が試みられたという。
Cisco Talos は、「最初のアクセス権を得た後に、脅威アクターはアクセスを維持し、フォレンジック・アーティファクトを最小限に抑え、環境内のシステムへのアクセスレベルを上げるために、さまざまなアクティビティを実施した。脅威アクターを環境から排除すること成功した後にも、繰り返してアクセスを回復しようとする持続性が示されたが、これらの試みは失敗に終わった」と述べている。
Cisco からデータを盗んだと主張するハッカー
先週のことだが、Cisco ハッキングの背後にいる脅威アクターが、攻撃中に盗んだとするファイルのディレクトリ・リストを、BleepingComputer に電子メールで送り届けてきた。
この脅威アクターは、約3,100のファイルで構成される、2.75GB のデータを盗んだと主張している。これらのファイルの多くは、秘密保持契約書/データダンプ/エンジニアリング図面などである。また、脅威アクターは、Cisco のネットワークに侵入してファイルを流出させた証拠として、攻撃で盗んだとする NDA 文書の編集版を BleepingComputer に送り届けた。

今日にたって、驚異アクターたちは、データリーク・サイトで Cisco への侵害を発表し、以前 BleepingComputer に送られたものと同じの、ディレクトリ・リストを公開した。
Cisco のシステムにはランサムウェアは配備されていない
その一方で Cisco は、Yanluowang ギャングは被害者のファイルを暗号化することで知られているが、攻撃中にランサムウェアのペイロードは発見されなかったと述べている。
Cisco Talos は、水曜日に発表した別のブログ記事で、「この攻撃では、ランサムウェアの展開は観察されなかったが、使用された TTP は、被害者の環境にランサムウェアを展開する前によく観察される、プレラン・サムウェア・アクティビティと一致していた。この攻撃は、サイバー犯罪組織 UNC2447 および、脅威アクター・グループ Lapsus$、Yanluowang ランサムウェアのオペレーターと関係を持つ、イニシャル・アクセス・ブローカー (IAB) として以前に確認された、敵対者により行われた可能性が、かなり高いと評価している」と述べている。
また、最近のことだが、Yanluowang は Walmart のシステムにも侵入したと主張している。ただし、Walmart は BleepingComputer に対して、ランサムウェア攻撃の証拠は見つからなかったと、この攻撃を否定している。
このところ、深刻な脆弱性を連発している Cisco ですが、Yanluowang ランサムウェアによる攻撃を許してしまったようです。このブログを調べてみたら、2021年12月1日に「Yanluowang ランサムウェアが米国の金融業界を狙っている」という記事がポストされていました。この記事では、「Yanluowang の TTP は、ランサムウェア Thieflock の運用者が使用したものと類似していることから、この脅威アクターが新しいマルウェア・ファミリーに切り替えた可能性もある」と解説しています。よろしければ、ご参照ください。

You must be logged in to post a comment.