前端万花筒

据外媒报道，思科美国网络巨头思科系统公司日前证实遭到黑客攻击，遭遇一个名称为Yanluowang的勒索勒索软件运营商声称对其网络进行了攻击。

思科公司的软件Talos威胁情报团队发布了一份8110线路列表，显示了受到攻击的团伙文件夹名称和可能泄露的文件 。

但该团队声称，思科这一漏洞只导致无关紧要的遭遇数据外泄，并导致网络攻击者从思科系统和公司网络中启动。勒索分析师指出，软件他们反复尝试重新侵入，团伙尽管使用了各种先进技术，思科但他们还是源码库遭遇没有取得最初的成功
。

发生了什么?勒索

Talos威胁情报团队分析师声称，网络攻击者首先控制了思科公司一名员工的软件个人Google账户。

他们解释说，团伙“这名员工通过谷歌浏览器启用了密码同步，并将其思科凭据存储在浏览器中，从而使该信息能够同步到自己的谷歌账户 。在获得这名员工的凭据后
，网络攻击者试图使用多种技术绕过多因素身份验证(MFA)，其中包括语音网络钓鱼 ，即向目标移动设备发送大量推送请求的过程直到用户接受。云计算一旦攻击者获得初始访问权限
，他们就会为MFA注册一系列新设备，并成功通过Cisco VPN的身份验证。”

网络攻击者采取的措施：

将网络攻击者的权限提升为“管理员” ，允许他们登录到各种系统(思科安全的IT团队在此时发现有问题)。删除远程访问和攻击性安全工具。添加后门账户和持久化机制。

该团队解释说 ：“在最初访问环境后 ，威胁参与者采取各种措施，以维护访问权限、最大限度地减少取证，并提高他们对环境中系统的源码下载访问级别。网络攻击者设法破坏了一系列Citrix服务器，并最终获得了对域控制器的特权访问。”

他们追踪凭据数据库、注册表信息和包含凭据的内存，删除创建的帐户 ，并清除系统日志以掩盖他们的踪迹，更改基于主机的防火墙配置以启用RDP访问系统 ，并试图窃取内部信息 。

事实证明，他们只设法从Active Directory中窃取了与受感染员工帐户和员工身份验证数据相关联的香港云服务器Box文件夹的内容。

思科公司声称，“该事件包含在企业IT环境中 ，思科公司没有发现对任何思科产品或服务  、敏感的客户数据或员工信息 、思科知识产权或供应链运营有任何影响 。”

这些网络攻击者在被启动之前没有设法部署勒索软件 ，但他们仍然试图从思科公司勒索赎金，以换取被盗数据不对外泄露。

可以吸取的教训

思科公司于2022年5月24日首次注意到正在进行的网络攻击，但没有透露在此之前这一攻击持续了多长时间 。

思科Talos团队详细介绍了网络攻击者获取访问权限
 ，亿华云以及他们在思科企业网络中所采取的措施  ，以及将他们从网络中移除后重新进入的尝试，并分享了入侵迹象，以帮助其他企业防御者和事件响应者
。

分析师指出，“根据获得的工件 、识别的战术
、技术和程序(TTP)、使用的基础设施以及对这次攻击中使用的后门的彻底分析，服务器租用我们以中等到高度的信心评估这次攻击是由具有之前被确定的与UNC2447和Lapsus$有关的初始访问代理(IAB)。

我们还观察到之前的活动将这个威胁行为者与Yanluowang勒索软件团伙联系起来，包括使用Yanluowang数据泄露网站发布从受害企业窃取的数据。”

思科公司发布的披露和详细报告获得了许多网络安全专家的好评，并强调了一些已知的安全机制弱点。