思科（Cisco）周三證實(shí)：今年五月，Yanluowang 勒索軟件團(tuán)伙入侵了該公司的網(wǎng)絡(luò)，并試圖利用線上泄露的被盜文件索取贖金。即便如此，思科還是堅(jiān)稱攻擊者僅從與受感染員工賬戶相關(guān)聯(lián)的 Box 文件夾中，獲取并竊取了非敏感數(shù)據(jù)。

思科發(fā)言人在接受?BleepingComputer?采訪時(shí)稱，該公司網(wǎng)絡(luò)于 2022 年 5 月下旬經(jīng)歷了一起安全事件，但他們已迅速采取行動(dòng)、將不良行為者遏制并清除。

思科未發(fā)現(xiàn)此事件對(duì)公司的業(yè)務(wù)運(yùn)營(yíng)造成任何影響，包括思科產(chǎn)品與服務(wù)、敏感的客戶數(shù)據(jù) / 員工信息、知識(shí)產(chǎn)權(quán)、或供應(yīng)鏈運(yùn)營(yíng)。

8 月 10 日，攻擊者將本次安全事件中竊取的文件列表發(fā)布到暗網(wǎng)。

不過(guò)我們已經(jīng)采取額外措施來(lái)保護(hù)公司系統(tǒng)、同時(shí)分享了技術(shù)細(xì)節(jié)，以幫助保護(hù)更廣泛的安全社區(qū)。

據(jù)悉，Yanluowang 攻擊者在劫持了員工的個(gè)人 Google 賬戶（包含從起瀏覽器同步的憑據(jù)）后，使用被盜的身份驗(yàn)證信息獲得了對(duì)思科網(wǎng)絡(luò)的訪問(wèn)權(quán)限。

接著攻擊者利用多因素身份驗(yàn)證推送通知，來(lái)說(shuō)服思科員工接受 MFA，然后利用假冒受信任的支持組織，發(fā)起一系列復(fù)雜的語(yǔ)音網(wǎng)絡(luò)釣魚(yú)攻擊。

泄露文件列表（圖 via BleepingComputer）

威脅行為者最終誘騙受害者接受其中一個(gè) MFA 通知，并在目標(biāo)用戶的上下文內(nèi)容中獲得了對(duì)虛擬專用網(wǎng)的訪問(wèn)權(quán)限。

一在企業(yè)內(nèi)網(wǎng)站穩(wěn)腳跟，Yanluowang 團(tuán)伙就開(kāi)始橫向傳播，繼而染指思科的服務(wù)器和域控制器。

思科旗下威脅情報(bào)組織 Talos 在調(diào)查后發(fā)現(xiàn)，攻擊者進(jìn)入了 Citrix 環(huán)境并破壞了一系列服務(wù)器，并最終獲得了對(duì)域控制器的特權(quán)訪問(wèn)。

在獲得域管理員權(quán)限后，黑客又利用 ntdsutil、adfind 和 secretsdump 等枚舉工具收集到了更多信息，從而將一系列有效負(fù)載安裝到受感染的系統(tǒng)上（包括后門）。

慶幸的是，思科很快檢測(cè)到、并從內(nèi)網(wǎng)環(huán)境中將攻擊者驅(qū)逐了出去。

然而不死心的 Yanluowang 團(tuán)伙，還是在碰壁后的接下來(lái)幾周時(shí)間里，不斷嘗試重新獲取訪問(wèn)權(quán)限。

Talos 補(bǔ)充道：“在獲得初始訪問(wèn)權(quán)限后，威脅參與者開(kāi)展了各種活動(dòng)來(lái)維持和提升其在系統(tǒng)中的訪問(wèn)權(quán)限，并盡最大限度地減少了取證偽影”。

上周，幕后威脅參與者通過(guò)電子郵件，向 BleepingComputer 發(fā)送了一份據(jù)稱在攻擊期間被盜取的文件目錄。

該團(tuán)伙聲稱掌握了 2.75 GB 的數(shù)據(jù)，其中包括大約 3100 個(gè)文件，且不少與保密協(xié)議、數(shù)據(jù)轉(zhuǎn)儲(chǔ)和工程圖紙有關(guān)。

為證明數(shù)據(jù)泄露的真實(shí)性，它們還向外媒分享了一份經(jīng)過(guò)編輯的 NDA 文件。

即便如此，思科方面還是回應(yīng)稱 —— 盡管 Yanluowang 團(tuán)伙以加密受害者的文件而臭名昭著，但該公司并未在這輪攻擊過(guò)程中發(fā)現(xiàn)有勒索軟件得逞的證據(jù)。

至于幕后黑手的真實(shí)身份，Talos 比較肯定它們與先前被確定為 UNC2447 的網(wǎng)絡(luò)犯罪團(tuán)伙和 Lapsus$ 等有關(guān)。

此外 Yanluowang 最近聲稱入侵了美國(guó)零售巨頭沃爾瑪?shù)南到y(tǒng)，但相關(guān)報(bào)道并未發(fā)現(xiàn)勒索軟件攻擊的證據(jù)。