Cisco で発生した８月のデータ侵害：Lapsus$ ランサムウェア・グループとの関連性

Cisco Data Breach Attributed to Lapsus$ Ransomware Group

2022/09/13 DarkReading — Cisco のシステムへの侵入が確認されてから１カ月が経過したが、この攻撃は Lapsus$ グループによるランサムウェア攻撃であり、失敗したと、同社は報告している。このサイバー犯罪者は、ソーシャル・エンジニアリング攻撃で Cisco のシステムにアクセスし、従業員の Google パーソナル・アカウントを操作し、被害者のブラウザに保存されていた認証情報を盗み出した。

具体的に言うと、この攻撃では、攻撃者が従業員の Google パーソナル・アカウントを操作し、ブラウザに保存されていた認証情報を同期させる。その後に、一連の巧妙な音声フィッシング攻撃で、被害者に多要素認証 MFA のプッシュ通知を受け入れるよう説得し、 企業VPN へのログインを被害者になりすまして行うというものだ。

そこから、攻撃者は Cisco のシステムを侵害し、特権を昇格させ、リモートアクセス・ツールを導入し、Cobalt Strike などの攻撃的なマルウェアを展開し、システムに独自のバックドアを追加できたという。

9月11日に Cisco Talos チームが発表した、この８月における侵害に関するアップデートは、「入手した成果物や、特定した TTP (tactics, techniques, and procedures)、使用されたインフラ、用いたれたバックドアなどの分析に基づき、この攻撃は、UNC2447 および Lapsus$ と関係のある IAB (initial access broker) として、以前に特定した敵対者により行われものを、かなりの確率で推測できる」と説明している。

同チームは、「この攻撃ではランサムウェアの展開は確認できなかったが、使用された TTP は、被害者環境にランサムウェアを展開する前によく見られる、プレランサムウェア活動と一致している」と述べている。

9月12日の「Cisco をハッキングした Yanluowang の手口：従業員の認証情報漏洩から始まった」では、Yanluowang ランサムウェアの犯行と紹介されていますが、Cisco は Lapsus$ の犯行だと認識しているようです。ただし、8月10日の「Cisco をハッキングした Yanluowang ランサムウェア：2.8GB のファイルを公開」では、Cisco Talos のコメントとして、「この攻撃は、サイバー犯罪組織 UNC2447 および、脅威アクターグ・ループ Lapsus$、Yanluowang ランサムウェアのオペレーターと関係を持つ、イニシャル・アクセス・ブローカー (IAB) として以前に確認された、敵対者により行われた可能性が、かなり高いと評価している」と述べています。