思科承认遭到黑客攻击并猜测与LAPSUS$团伙有关 被窃文件被发布到暗网

思科于8月10日承认，2022年5月下旬其企业IT基础设施遭受安全事件，攻击者通过控制员工个人谷歌账户窃取文件并发布至暗网，思科猜测此次攻击可能与LAPSUS$团伙有关。以下是详细信息：事件经过网络攻击者控制了一名员工的个人谷歌账户，盗用其凭证并同步浏览器数据，窃取的文件被发布到暗网。攻击者以受信任组织的名义进行复杂的语音网络钓鱼攻击，说服受害者接受多因素身份验证（MFA）推送通知，成功获取VPN访问权限。获得初始访问权限后，攻击者采取措施维护访问权限、减少取证痕迹并提升系统访问级别，尝试窃取信息。唯一成功窃取的数据是与受损员工账户相关的Box文件夹内容和Active Directory中的员工身份验证数据，但Box数据并不敏感。攻击者多次尝试重新获得访问权限，但均未成功。他们还反复向思科执行成员发送电子邮件寻求通信，未提出具体威胁或勒索要求，也没有证据表明其可以访问关键内部系统。攻击团伙关联分析思科以“中等到高度的信心”评估，此次攻击由一个与UNC2447网络犯罪团伙、LAPSUS$威胁参与者团体以及Yanluowang勒索软件运营商有联系的初始访问代理（IAB）进行。调查过程中发现的一些技术、工具和程序（TTP）与LAPSUS$的相匹配，该团伙曾对数起重大企业违规事件负责。UNC2447是出于经济动机的网络攻击者，曾进行勒索软件攻击并利用双重勒索技术，采用过FIVEHANDS、HELLOKITTY等勒索软件。不过，此次攻击中未观察到攻击者采用或部署勒索软件。思科的应对措施采取行动遏制并根除网络攻击侵入，成功从运营环境中移除攻击者。实施全公司范围的密码重置。更新安全产品，通过观察攻击者采用的技术、与其他方共享妥协指标（IOC）、与执法部门和其他合作伙伴联系获得的情报来增强应变能力，帮助更广泛的安全社区。对客户和企业的建议加强多因素身份验证（MFA）：鉴于攻击者熟练运用多种技术获得初始访问权限，对用户进行安全教育是应对MFA绕过技术的关键。确保员工接受安全培训，了解收到错误推送请求时的应对措施以及如何响应，明确发生事件时与谁联系以确定事件性质。实施设备验证：通过对设备状态实施更严格的控制，限制或阻止来自非托管或未知设备的注册和访问，实施强大的设备验证。采用网络分段：为企业重要安全控制措施，为高价值资产提供增强保护，在攻击者获得初始访问权限的情况下实现更有效的检测和响应。集中式日志收集：集中收集端点生成的日志数据，分析异常或明显的恶意行为，在网络攻击发生时提供早期提示，最大程度减少因攻击者删除日志导致的可见性不足。事件影响思科表示这一安全事件被控制在企业IT环境中，未发现对任何思科产品或服务、敏感客户数据或员工信息、思科的知识产权以及供应链运营造成任何影响。