lapsus黑客组织是哪个国家的?思科承认遭到黑客攻击并猜测与LAPSUS$团伙有关

管理员 2024-11-24 17:13:25 0

lapsus黑客组织是哪个国家的?

美国,全球最大的黑客产地。

全球IT、网络和网络安全解决方案巨头思科于8月10日承认,该公司在2022年5月下旬遭受了针对其企业IT基础设施的安全事件。

在网络攻击者控制了一名员工的个人谷歌账户后,其凭证被盗用,而保存在其浏览器中的数据也被同步。网络攻击者将这起安全事件中窃取的文件发布到了暗网。

不过该公司表示:“这一安全事件已被控制在我们的企业IT环境中,没有发现对任何思科产品或服务、敏感客户数据或员工信息、思科的知识产权以及供应链运营造成任何影响。”

思科声称,已经采取行动进行遏制并根除网络攻击的侵入,并猜测这可能与臭名昭著的威胁组织LAPSUS$团伙有关。之所以决定现在公开宣布这起事件,是因为之前正在积极收集有关不良行为者的信息,以帮助保护安全社区。

网络攻击者采用“复杂的语音网络钓鱼”策略

这起安全事故到底是如何发生的呢?极客网了解到,在这一安全事件的执行摘要中,思科安全事件响应(CSIRT)团队Cisco Talos指出:“网络攻击者以各种受信任的组织的名义进行了一系列复杂的语音网络钓鱼攻击,试图说服受害者接受由攻击者发起的多因素身份验证(MFA)推送通知。攻击者成功实现了多因素身份验证(MFA)推送接受,最终授予他们在目标用户场景中访问VPN的权限。”

在获得初始访问权限后,网络攻击者采取了一些措施以维护其访问权限,最大限度地减少取证,并提高他们对环境中系统的访问级别。 “在整个攻击过程中,我们观察到了网络攻击者从环境中窃取信息的尝试行为。确认攻击期间唯一成功的数据过滤包括与受损员工帐户相关的Box文件夹的内容和active directory中的员工身份验证数据。

思科安全团队继续说道,在这种情况下,他们获得的Box数据并不敏感。我们已经成功从运营环境中移除网络攻击者。虽然他们在成功进行网络攻击之后的几周内多次尝试重新获得访问权限,然而这些尝试都没有成功。”

该团队还指出,网络攻击反复向与思科的执行成员发送电子邮件寻求通信,但没有提出任何具体的威胁或勒索要求。也没有发现任何证据表明网络攻击者可以访问思科关键内部系统,例如与产品开发和代码签名相关的系统。

一起与LAPSUS$威胁团伙相关的攻击

思科以“中等到高度的信心”进行评估,此次攻击是由一个先前被确定为与UNC2447网络犯罪团伙、LAPSUS$威胁参与者团体以及Yanluowang勒索软件运营商有联系的初始访问代理(IAB)进行的。

思科在一份声明指出,“在我们的调查过程中发现的一些技术、工具和程序(TTP)_与LAPSUS$的那些TTP相匹配……据报道,该团伙曾对此前数起重大的企业违规事件负责。UNC2447是出于经济动机的网络攻击者,此前曾观察到他们进行勒索软件攻击,并利用双重勒索的技术。而先前的调查表明,已经观察到UNC2447采用各种勒索软件,其中包括FIVEHANDS、HELLOKITTY等。”

然而,思科表示在此次攻击中没有观察到网络攻击者采用或部署勒索软件。该公司指出,“每次网络安全事件都是一次学习机会,将会增强我们的应变能力,并帮助更广泛的安全社区。思科通过观察网络攻击者采用的技术、与其他方共享妥协指标(IOC)、与执法部门和其他合作伙伴联系获得的情报更新了其安全产品。”

据悉,思科在事后实施了全公司范围的密码重置。

黑客

加强MFA、设备验证和网络分段以降低风险

思科建议客户和企业采取措施降低与此事件相关的风险,包括加强多因素身份验证(MFA)、设备验证和网络分段。

同时思科还指出,鉴于网络攻击者在使用多种技术获得初始访问权限方面表现出的熟练程度,对用户进行安全教育也是应对多因素身份验证(MFA)绕过技术的关键部分。与实施多因素身份验证(MFA)同样重要的是确保员工接受安全培训,让他们了解如果在手机上收到错误的推送请求采取的应对措施以及如何响应。如果确实发生此类事件,还必须让员工了解与谁联系,以帮助确定该事件是技术问题还是恶意事件。

思科补充说,通过对设备状态实施更严格的控制来限制或阻止来自非托管或未知设备的注册和访问,实施强大的设备验证将会受益。这其中,网络分段是企业应采用的另一项重要安全控制措施,因为它为高价值资产提供了增强的保护,并在网络攻击者能够获得对环境的初始访问权限的情况下实现更有效的检测和响应能力。

思科还指出,集中式日志收集有助于最大程度地减少网络攻击者采取主动措施从系统中删除日志时导致的可见性不足。确保集中收集端点生成的日志数据,并分析异常或明显的恶意行为,可以在网络攻击发生时提供一些早期提示。


相关文章