Cisco をハッキングした Yanluowang の手口：従業員の認証情報漏洩から始まった

Cisco confirms that data leaked by the Yanluowang ransomware gang were stolen from its systems

2022/09/12 SecurityAffairs — 8月に Cisco が公表したのは、Yanluowang ランサムウェア・ギャングが同社のネットワークに、5月下旬に侵入して内部データを盗んだというインシデントに関する詳細である。 Cisco Security Incident Response (CSIRT) と Cisco Talos が実施した調査で判明したのは、被害者のブラウザに保存された認証情報と同期している、個人の Google アカウントを操作する脅威アクターが、Cisco の従業員の認証情報を漏洩させたことである。

そして、認証情報を入手した攻撃者は、音声によるフィッシング攻撃を行い、被害者を騙して攻撃者が開始した MFA プッシュ通知を承認させようと試みていた。

攻撃者は、様々な信頼できる組織を装い、一連の高度なボイス・フィッシング攻撃を実行し、攻撃者が開始した MFA プッシュ通知を被害者に承認させようと試みた。被害者が MFA プッシュを承認すると、標的のユーザーのコンテキストを用いる攻撃者は、VPN へのアクセス許可を得ることに成功する。

Talos によると、イニシャル・アクセス権を取得した攻撃者は、一連の新しいデバイスを MFA 用に登録し、Cisco VPN への認証に成功していた。そして、複数のシステムにログインする前に、管理者権限に昇格させていた。その結果として攻撃者は、LogMeIn／TeamViewer／Cobalt Strike／PowerSploit／Mimikatz／Impacket などのリモート・アクセス・ツールを含む、複数のツールをターゲット・ネットワークにドロップすることが可能になったのである。

先週末に Cisco は、Yanluowang ランサムウェア・ギャングにより最近にリークされたデータが本物であり、5月の侵入中にネットワークから盗まれたものであることを確認した。ただし、同社は、盗まれたデータには機密情報が含まれていないため、このセキュリティ侵害はビジネスに影響を与えないと述べている。

2022年9月11日に Cisco が公開したアップデートには、「このセキュリティ・インシデントのファイル一覧を、以前にダークウェブに公開した攻撃者が、9月11日に同じファイルをダークウェブの同じ場所に投稿した」と記されている。

同社は、「これらのファイルの内容は、私たちが既に特定し、公開しているものと一致している。この事件に関する、我々の以前の分析に変更はない。これまでと同様に、Cisco の製品やサービス／機密顧客データ／機密従業員情報／知的財産／サプライチェーン業務などの、ビジネスへの影響はないと見ている」と述べている。

BleepinComputer が、Yanluowang のリーダーに連絡を取ったところ、 同グループは、機密文書／技術回路図／ソースコードなどを含む、55 GB のファイルを盗んだと主張している。その一方で Cisco は、攻撃者が自社製品のソースコードにアクセスしたことを否定し続けている。

最近になって、サイバーセキュリティ会社 eSentire の研究者たちは、Cisco のハッキングで使用された攻撃インフラが、2022年4月の Workforce Management への攻撃でも使用されていたことを発見した。さらに専門家たちは、この攻撃は、Evil Corp 系列クラスタ UNC2165 のメンバーとされる、mx1r が指揮したと推測される。

この件については、9月1日の TheHackerNews が、「Cisco をハッキングした Yanluowang：Evil Corp や Conti との関連性が見えてきた」という記事をポストしていましたが、今回は SecurityAffairs の記事となります。eSentire の分析については、TheHackerNews の記事のほうが詳しいので、そちらも、ご参照ください。