思科坦承遭網路攻擊，公布完整攻擊鏈

2022-11-04

思科（Cisco）日前坦承，該公司在5月24日察覺遭到入侵，並由思科資安事件應變小組（CSIRT）與旗下資安公司Cisco Talos攜手補救，起因是一名員工的個人Google帳號遭到駭客入侵。雖然思科並未發現系統被部署勒索軟體，但勒索軟體集團Yanluowang宣稱已取得2.8GB的思科資料。

根據思科的調查，駭客是先取得了一名思科員工的個人Google帳號，該名員工在Chrome中啟用了帳號同步功能，並於瀏覽器上存放了思科憑證；在得到思科憑證之後，駭客藉由語音網釣，以及頻繁發送多因素認證（MFA）請求至員工手機，最終成功進入了思科的VPN網路。

該名憑證被盜用的員工還說，他在幾天之內收到無數的電話，對方以各種國際腔調說著英文，宣稱來自於受到該員工信任的組織。

隨後駭客還註冊了多個裝置以供MFA使用，並將自己升級到管理權限以登入多個系統，便是此舉觸發了思科內部的安全警報。

此外，駭客亦於思科系統內植入了各種工具，諸如LogMeIn與TeamViewer等遠端存取工具，以及 Cobalt Strike、PowerSploit、Mimikatz與Impacket等攻擊型安全工具，還新增了多個後門帳號以方便自己出入。

思科指出，該攻擊的初始存取掮客（Initial Access Broker，IAB）與UNC2447及Lapsus$駭客集團有關，前者是基於金融動機的俄羅斯駭客集團，藉由部署各式勒索軟體獲利，後者則是一個鎖定企業網路的駭客集團，目的是竊取機密資訊。雖然駭客所使用的戰術流程（TTP）與勒索軟體駭客如出一轍，但駭客並未於此一攻擊行動中部署勒索軟體。

然而，就在思科公布攻擊報告的同一天，勒索軟體集團Yanluowang便在資料外洩名單上納入了思科（下圖），根據《BleepingComputer》的報導，駭客宣稱取得了2.8GB的思科資料，並向思科提出了贖金的要求。

思科則向《BleepingComputer》表示，此一意外並未對思科的業務造成任何影響，包括思科產品、服務、機密的客戶或員工資料、智慧財產，以及供應鏈運作等。

（相關資訊來自iThome）