日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
思科遭遇勒索軟件團(tuán)伙的攻擊

據(jù)外媒報道,美國網(wǎng)絡(luò)巨頭思科系統(tǒng)公司日前證實(shí)遭到黑客攻擊,一個名稱為Yanluowang的勒索軟件運(yùn)營商聲稱對其網(wǎng)絡(luò)進(jìn)行了攻擊。

思科公司的Talos威脅情報團(tuán)隊發(fā)布了一份8110線路列表,顯示了受到攻擊的文件夾名稱和可能泄露的文件。

但該團(tuán)隊聲稱,這一漏洞只導(dǎo)致無關(guān)緊要的數(shù)據(jù)外泄,并導(dǎo)致網(wǎng)絡(luò)攻擊者從思科系統(tǒng)和公司網(wǎng)絡(luò)中啟動。分析師指出,他們反復(fù)嘗試重新侵入,盡管使用了各種先進(jìn)技術(shù),但他們還是沒有取得最初的成功。

發(fā)生了什么?

Talos威脅情報團(tuán)隊分析師聲稱,網(wǎng)絡(luò)攻擊者首先控制了思科公司一名員工的個人Google賬戶。

他們解釋說,“這名員工通過谷歌瀏覽器啟用了密碼同步,并將其思科憑據(jù)存儲在瀏覽器中,從而使該信息能夠同步到自己的谷歌賬戶。在獲得這名員工的憑據(jù)后,網(wǎng)絡(luò)攻擊者試圖使用多種技術(shù)繞過多因素身份驗(yàn)證(MFA),其中包括語音網(wǎng)絡(luò)釣魚,即向目標(biāo)移動設(shè)備發(fā)送大量推送請求的過程直到用戶接受。一旦攻擊者獲得初始訪問權(quán)限,他們就會為MFA注冊一系列新設(shè)備,并成功通過Cisco VPN的身份驗(yàn)證?!?/p>

網(wǎng)絡(luò)攻擊者采取的措施:

  • 將網(wǎng)絡(luò)攻擊者的權(quán)限提升為“管理員”,允許他們登錄到各種系統(tǒng)(思科安全的IT團(tuán)隊在此時發(fā)現(xiàn)有問題)。
  • 刪除遠(yuǎn)程訪問和攻擊性安全工具。
  • 添加后門賬戶和持久化機(jī)制。

該團(tuán)隊解釋說:“在最初訪問環(huán)境后,威脅參與者采取各種措施,以維護(hù)訪問權(quán)限、最大限度地減少取證,并提高他們對環(huán)境中系統(tǒng)的訪問級別。網(wǎng)絡(luò)攻擊者設(shè)法破壞了一系列Citrix服務(wù)器,并最終獲得了對域控制器的特權(quán)訪問?!?/p>

他們追蹤憑據(jù)數(shù)據(jù)庫、注冊表信息和包含憑據(jù)的內(nèi)存,刪除創(chuàng)建的帳戶,并清除系統(tǒng)日志以掩蓋他們的蹤跡,更改基于主機(jī)的防火墻配置以啟用RDP訪問系統(tǒng),并試圖竊取內(nèi)部信息。

事實(shí)證明,他們只設(shè)法從Active Directory中竊取了與受感染員工帳戶和員工身份驗(yàn)證數(shù)據(jù)相關(guān)聯(lián)的Box文件夾的內(nèi)容。

思科公司聲稱,“該事件包含在企業(yè)IT環(huán)境中,思科公司沒有發(fā)現(xiàn)對任何思科產(chǎn)品或服務(wù)、敏感的客戶數(shù)據(jù)或員工信息、思科知識產(chǎn)權(quán)或供應(yīng)鏈運(yùn)營有任何影響?!?/p>

這些網(wǎng)絡(luò)攻擊者在被啟動之前沒有設(shè)法部署勒索軟件,但他們?nèi)匀辉噲D從思科公司勒索贖金,以換取被盜數(shù)據(jù)不對外泄露。

可以吸取的教訓(xùn)

思科公司于2022年5月24日首次注意到正在進(jìn)行的網(wǎng)絡(luò)攻擊,但沒有透露在此之前這一攻擊持續(xù)了多長時間。

思科Talos團(tuán)隊詳細(xì)介紹了網(wǎng)絡(luò)攻擊者獲取訪問權(quán)限,以及他們在思科企業(yè)網(wǎng)絡(luò)中所采取的措施,以及將他們從網(wǎng)絡(luò)中移除后重新進(jìn)入的嘗試,并分享了入侵跡象,以幫助其他企業(yè)防御者和事件響應(yīng)者。

分析師指出,“根據(jù)獲得的工件、識別的戰(zhàn)術(shù)、技術(shù)和程序(TTP)、使用的基礎(chǔ)設(shè)施以及對這次攻擊中使用的后門的徹底分析,我們以中等到高度的信心評估這次攻擊是由具有之前被確定的與UNC2447和Lapsus$有關(guān)的初始訪問代理(IAB)。

我們還觀察到之前的活動將這個威脅行為者與Yanluowang勒索軟件團(tuán)伙聯(lián)系起來,包括使用Yanluowang數(shù)據(jù)泄露網(wǎng)站發(fā)布從受害企業(yè)竊取的數(shù)據(jù)?!?/p>

思科公司發(fā)布的披露和詳細(xì)報告獲得了許多網(wǎng)絡(luò)安全專家的好評,并強(qiáng)調(diào)了一些已知的安全機(jī)制弱點(diǎn)。


網(wǎng)站標(biāo)題:思科遭遇勒索軟件團(tuán)伙的攻擊
標(biāo)題URL:http://www.dlmjj.cn/article/dhsdjgd.html