Die Angriffsinfrastruktur, mit der Cisco im Mai 2022 angegriffen wurde, wurde auch bei der versuchten Kompromittierung eines ungenannten Unternehmens für Personalmanagementlösungen einen Monat zuvor im April 2022 eingesetzt.
Die Cybersecurity-Firma Sentire, die die Ergebnisse veröffentlicht hat, vermutet, dass die Angriffe von einem kriminellen Akteur namens mx1r durchgeführt wurden, der Mitglied des Evil Corp Affiliate Clusters mit dem Namen UNC2165 sein soll.
Evil Corp, die Urheber des berüchtigten Banking-Trojaners Dridex, haben im Laufe der Jahre ihren Modus Operandi verfeinert und eine Reihe von Ransomware-Operationen durchgeführt, um die vom US-Finanzministerium im Dezember 2019 verhängten Sanktionen zu umgehen.
Der erste Zugang zum IT-Netzwerk des Unternehmens wurde durch gestohlene VPN-Zugangsdaten (Virtual Private Network) ermöglicht, gefolgt von der Nutzung handelsüblicher Tools, um in die Umgebung des Opfers einzudringen.
„Mithilfe von Cobalt Strike konnten die Angreifer einen ersten Fuß in die Tür setzen und vom ersten Zugriff bis zum Zeitpunkt, an dem der Angreifer seine eigene virtuelle Maschine im VPN-Netzwerk des Opfers registrieren konnte, sofort und schnell agieren“, so eSentire.
Die Verbindung von mx1r zu UNC2165 ergibt sich aus den Überschneidungen der Taktiken und Techniken mit denen von UNC2165, einschließlich der Durchführung eines Kerberoasting-Angriffs gegen den Active Directory-Dienst und der Nutzung des Remote Desktop Protocol (RDP) für die Ausbreitung im Unternehmensnetzwerk.
Ungeachtet der Verbindungen soll die Cobalt Strike „HiveStrike“-Infrastruktur, die für den Angriff verwendet wurde, mit der eines Conti-Ransomware-Teilnehmers übereinstimmen, von dem bekannt ist, dass er Hive- und Yanluowang-Stämme einsetzt, die Ende Mai 2022 gestohlene Dateien aus dem Cisco-Einbruch auf ihrer Datenleck-Seite veröffentlicht haben.
Der Netzwerkausrüster führte den Vorfall auf einen Initial Access Broker (IAB) zurück, der mit drei verschiedenen Kollektiven verbunden ist: UNC2447, LAPSUS$ und Yanluowang Ransomware.
„Es scheint unwahrscheinlich, aber nicht unmöglich, dass Conti seine Infrastruktur der Evil Corp. zur Verfügung stellt“, so eSentire. Angesichts des jüngsten Wechsels von UNC2165 zu LockBit Ransomware ist es plausibler, dass das Evil Corp-Tochterunternehmen/UNC2165 mit einer der neuen Conti-Töchter zusammenarbeitet“, so das Unternehmen.
„Es ist auch möglich, dass der ursprüngliche Zugang von einer Evil Corp-Tochtergesellschaft vermittelt wurde, die dann aber an die Hive-Betreiber und ihre Tochtergesellschaften verkauft wurde“, heißt es weiter.