Cisco ยืนยัน ข้อมูลที่เผยแพร่โดยกลุ่มแรนซัมแวร์ Yanluowang เป็นข้อมูลที่ได้มาจากระบบของ Cisco จริง

Cisco ยืนยันเรื่องการถูกโจมตีในเดือนพฤษภาคม และข้อมูลรั่วไหลโดยกลุ่มแรนซัมแวร์ Yanluowang เป็นข้อมูลที่ถูกขโมยจากระบบของ Cisco จริง ๆ

ในเดือนสิงหาคมที่ผ่านมา Cisco ออกมาเปิดเผยข้อมูลการถูกโจมตีจากกลุ่มแรนซัมแวร์ Yanluowang ที่สามารถเข้าถึงเครือข่ายขององค์กรได้ในช่วงปลายเดือนพฤษภาคม และขโมยข้อมูลภายในออกไป

การสืบสวนดำเนินการโดย Cisco Security Incident Response (CSIRT) และ Cisco Talos เปิดเผยว่าผู้โจมตีสามารถเข้าถึงข้อมูลบัญชีของพนักงานของ Cisco ได้ หลังจากที่แฮ็กบัญชี Google ส่วนตัวของพนักงานรายนั้นได้ก่อนหน้า และพบว่ามีการซิงโครไนซ์ข้อมูลประจำตัวที่บันทึกไว้ในเบราว์เซอร์

เมื่อได้ข้อมูลแล้ว ผู้โจมตีก็เริ่มโจมตีแบบ voice phishing เพื่อหลอกให้เหยื่อให้กดยอมรับ MFA push notification ที่เป็นการพยายามเข้าใช้งานจากผู้โจมตี

จากนั้นหลังจากที่ผู้โจมตีสามารถเข้าถึง VPN ในฐานะของผู้ใช้ได้ ก็ทำการโจมตีแบบ voice phishing ต่อไปอีกหลายครั้ง เพื่อพยายามให้เหยื่อกดยอมรับ MFA push notification ที่เป็นการพยายามเข้าใช้งานจากผู้โจมตีต่อไปเรื่อย ๆ จนในที่สุดผู้โจมตีประสบความสำเร็จในการเข้าถึง VPN ของผู้ใช้งานที่เป็นเป้าหมายได้

จากรายงานของ Talos เมื่อผู้โจมตีสามารถเข้าถึงเครือข่ายได้แล้ว ผู้โจมตีก็ทำการโจมตีเพื่อยกระดับสิทธิ์จนได้สิทธิ์ของผู้ดูแลระบบ จากนั้นจึงสามารถเข้าถึงระบบภายในต่าง ๆ ได้ และสามารถติดตั้งเครื่องมือต่าง ๆ บนเครือข่ายเป้าหมาย ซึ่งรวมถึงเครื่องมือที่ใช้ในการเข้าถึงได้จากระยะไกล เช่น LogMeIn และ TeamViewer, Cobalt Strike, PowerSploit, Mimikatz และ Impacket

ในช่วงสุดสัปดาห์ที่ผ่านมา Cisco ยืนยันว่าข้อมูลที่เผยแพร่โดยกลุ่มแรนซัมแวร์ Yanluowang นั้นเป็นข้อมูลจริง และถูกขโมยจากเครือข่าย ระหว่างการบุกรุกในเดือนพฤษภาคมดังกล่าว อย่างไรก็ตามบริษัทระบุว่าการโจมตีครั้งนี้ไม่กระทบต่อธุรกิจ เนื่องจากข้อมูลที่ถูกขโมยออกไปไม่มีข้อมูลที่สำคัญ

จากข้อมูลของ BleepinComputer ซึ่งติดต่อกับหัวหน้ากลุ่มแรนซัมแวร์ Yanluowang ซึ่งอ้างว่าได้ขโมยไฟล์ขนาด 55GB ซึ่งรวมถึงเอกสารลับ แผนผังทางเทคนิค และซอร์สโค้ด โดย Cisco ยังคงปฏิเสธว่าผู้โจมตีสามารถเข้าถึงซอร์สโค้ดของผลิตภัณฑ์ของตนได้

เมื่อเร็ว ๆ นี้ นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ eSentire ค้นพบว่าระบบของผู้โจมตีที่ใช้ในการแฮ็ก Cisco นั้น ถูกใช้เพื่อโจมตีบริษัทการจัดการแรงงานชั้นนำในเดือนเมษายน 2022 อีกด้วย

ผู้เชี่ยวชาญยังคาดการณ์ด้วยว่าการโจมตีดังกล่าวทำโดยผู้คุกคามที่รู้จักกันในชื่อ mx1r ซึ่งเป็นสมาชิกของกลุ่มพันธมิตร Evil Corp ที่มีชื่อว่า UNC2165

ที่มา: securityaffairs

Read more