Der Netzwerkausrüster Cisco bestätigte am Mittwoch, dass er am 24. Mai 2022 Opfer eines Cyberangriffs wurde, nachdem die Angreifer das persönliche Google-Konto eines Mitarbeiters erbeutet hatten, das Passwörter enthielt, die über den Webbrowser synchronisiert wurden.
„Der erste Zugang zum Cisco VPN wurde durch die erfolgreiche Kompromittierung des persönlichen Google-Kontos eines Cisco-Mitarbeiters erreicht“, so Cisco Talos in einem ausführlichen Bericht. „Der Nutzer hatte die Passwortsynchronisierung über Google Chrome aktiviert und seine Cisco-Anmeldedaten in seinem Browser gespeichert, so dass diese Informationen mit seinem Google-Konto synchronisiert werden konnten.
Die Enthüllung erfolgte, nachdem Cyberkriminelle, die mit der Yanluowang Ransomware-Bande in Verbindung stehen, am 10. August eine Liste von Dateien aus dem Einbruch auf ihrer Data Leak Site veröffentlicht hatten.
Die exfiltrierten Informationen umfassten laut Talos den Inhalt eines Box-Cloudspeicherordners, der mit dem Konto des kompromittierten Mitarbeiters verbunden war und vermutlich keine wertvollen Daten enthielt.
Neben dem Diebstahl der Zugangsdaten gab es auch ein zusätzliches Phishing-Element, bei dem der Angreifer auf Methoden wie Vishing (auch bekannt als Voice-Phishing) und die Ermüdung der Multi-Faktor-Authentifizierung (MFA) zurückgriff, um das Opfer dazu zu bringen, Zugang zum VPN-Client zu erhalten.
MFA-Müdigkeit oder Prompt Bombing ist der Name für eine Technik, mit der Bedrohungsakteure die Authentifizierungs-App eines Nutzers mit Push-Benachrichtigungen überschwemmen, in der Hoffnung, dass dieser nachgibt und so einem Angreifer den unbefugten Zugriff auf ein Konto ermöglicht.
„Dem Angreifer gelang es schließlich, eine MFA-Push-Akzeptanz zu erreichen, die ihm den Zugang zu VPN im Kontext des anvisierten Nutzers ermöglichte“, so Talos.
Nachdem der Angreifer in der Umgebung Fuß gefasst hatte, meldete er eine Reihe neuer Geräte für MFA an und erlangte Administratorrechte, die ihm weitreichende Berechtigungen für die Anmeldung an mehreren Systemen gaben – eine Aktion, die auch die Aufmerksamkeit der Sicherheitsteams von Cisco erregte.
Der Angreifer, den Cisco einem Initial Access Broker (IAB) mit Verbindungen zur UNC2447-Bande, der LAPSUS$-Bedrohungsgruppe und den Betreibern der Yanluowang-Ransomware zuschreibt, unternahm auch Schritte, um eigene Backdoor-Konten und Persistenzmechanismen einzurichten.
UNC2447, ein „aggressiver“, finanziell motivierter russischer Akteur, wurde im April 2021 enttarnt, als er eine Zero-Day-Schwachstelle in SonicWall VPN ausnutzte, um die Ransomware FIVEHANDS zu verbreiten.
Yanluowang, benannt nach einer chinesischen Gottheit, ist eine Ransomware-Variante, die seit August 2021 gegen Unternehmen in den USA, Brasilien und der Türkei eingesetzt wird. Anfang April dieses Jahres gelang es Kaspersky aufgrund einer Schwachstelle im Verschlüsselungsalgorithmus, die Malware zu knacken und den Opfern ein kostenloses Entschlüsselungsprogramm zur Verfügung zu stellen.
Darüber hinaus soll der Akteur eine Vielzahl von Tools eingesetzt haben, darunter Fernzugriffsprogramme wie LogMeIn und TeamViewer sowie offensive Sicherheitstools wie Cobalt Strike, PowerSploit, Mimikatz und Impacket, um seinen Zugang zu den Systemen im Netzwerk zu verbessern.
„Nachdem er sich Zugang zum VPN verschafft hatte, nutzte der Angreifer das kompromittierte Benutzerkonto, um sich bei einer großen Anzahl von Systemen anzumelden, bevor er begann, weiter in die Umgebung einzudringen“, heißt es in der Erklärung. „Sie drangen in die Citrix-Umgebung ein, kompromittierten eine Reihe von Citrix-Servern und verschafften sich schließlich privilegierten Zugang zu Domänencontrollern.“
Die Bedrohungsakteure wurden auch dabei beobachtet, wie sie Dateien über das Remote Desktop Protocol (RDP) und Citrix zwischen den Systemen innerhalb der Umgebung verschoben, indem sie die Firewall-Konfigurationen der Hosts veränderten.
Es wurde jedoch keine Ransomware eingesetzt. Auch wenn bei diesem Angriff keine Ransomware eingesetzt wurde, entsprachen die verwendeten TTPs den „Vor-Ransomware-Aktivitäten“, d. h. Aktivitäten, die üblicherweise vor dem Einsatz von Ransomware in den Umgebungen der Opfer beobachtet werden“, so das Unternehmen.
Cisco stellte außerdem fest, dass die Angreifer, nachdem sie das Unternehmen verlassen hatten, mindestens dreimal versuchten, per E-Mail mit den Führungskräften des Unternehmens in Kontakt zu treten und sie zur Zahlung aufzufordern, damit „niemand von dem Vorfall und dem Informationsverlust erfährt“. Die E-Mail enthielt auch einen Screenshot der Verzeichnisliste des exfiltrierten Box-Ordners.
Das in San Jose ansässige Unternehmen betonte, dass der Vorfall keine Auswirkungen auf den Geschäftsbetrieb hatte und dass es zu keinem unbefugten Zugriff auf sensible Kundendaten, Mitarbeiterinformationen und geistiges Eigentum kam.