思科遭遇Yanluowang勒索软件团伙攻击 泄露近2.8GB数据

思科发言人在接受BleepingComputer采访时称，该公司网络于 2022 年 5 月下旬经历了一起安全事件，但他们已迅速采取行动、将不良行为者遏制并清除。

思科未发现此事件对公司的业务运营造成任何影响，包括思科产品与服务、敏感的客户数据 / 员工信息、知识产权、或供应链运营。

8 月 10 日，攻击者将本次安全事件中窃取的文件列表发布到暗网。

不过我们已经采取额外措施来保护公司系统、同时分享了技术细节，以帮助保护更广泛的安全社区。

据悉，Yanluowang 攻击者在劫持了员工的个人 Google 账户（包含从起浏览器同步的凭据）后，使用被盗的身份验证信息获得了对思科网络的访问权限。

接着攻击者利用多因素身份验证推送通知，来说服思科员工接受 MFA，然后利用假冒受信任的支持组织，发起一系列复杂的语音网络钓鱼攻击。

泄露文件列表（图 via BleepingComputer）

威胁行为者最终诱骗受害者接受其中一个 MFA 通知，并在目标用户的上下文内容中获得了对虚拟专用网的访问权限。

一在企业内网站稳脚跟，Yanluowang 团伙就开始横向传播，继而染指思科的服务器和域控制器。

思科旗下威胁情报组织 Talos 在调查后发现，攻击者进入了 Citrix 环境并破坏了一系列服务器，并最终获得了对域控制器的特权访问。

在获得域管理员权限后，黑客又利用 ntdsutil、adfind 和 secretsdump 等枚举工具收集到了更多信息，从而将一系列有效负载安装到受感染的系统上（包括后门）。

庆幸的是，思科很快检测到、并从内网环境中将攻击者驱逐了出去。

然而不死心的 Yanluowang 团伙，还是在碰壁后的接下来几周时间里，不断尝试重新获取访问权限。

Talos 补充道：“在获得初始访问权限后，威胁参与者开展了各种活动来维持和提升其在系统中的访问权限，并尽最大限度地减少了取证伪影”。

上周，幕后威胁参与者通过电子邮件，向 BleepingComputer 发送了一份据称在攻击期间被盗取的文件目录。

该团伙声称掌握了 2.75 GB 的数据，其中包括大约 3100 个文件，且不少与保密协议、数据转储和工程图纸有关。

为证明数据泄露的真实性，它们还向外媒分享了一份经过编辑的 NDA 文件。

即便如此，思科方面还是回应称 —— 尽管 Yanluowang 团伙以加密受害者的文件而臭名昭著，但该公司并未在这轮攻击过程中发现有勒索软件得逞的证据。

至于幕后黑手的真实身份，Talos 比较肯定它们与先前被确定为 UNC2447 的网络犯罪团伙和 Lapsus$ 等有关。

此外 Yanluowang 最近声称入侵了美国零售巨头沃尔玛的系统，但相关报道并未发现勒索软件攻击的证据。