vendredi, 29 mars 2024

Cisco : les informations d’identification des employés compromises par des attaques sophistiquées de phishing vocal

  • Grâce à une série d’attaques de phishing vocale sophistiquées, des vedettes du risque ont piraté les comptes individuels d’un membre du personnel de Cisco, les convainquant d’accepter les notifications push d’authentification multi-facteurs (MFA).
  • Cisco a rencontré un incident de sécurité sur son réseau d’entreprise fin mai 2022 et a affirmé avoir immédiatement fait quelque chose pour y remédier afin de comprendre et d’éliminer les mauvaises étoiles.
Cisco Live 2022 : tout est question d’expérience unifiée et de gestion du cloud

Le mois dernier, un nouveau rapport de Mutare a révélé de sérieux inconvénients dans les protections de sécurité des entreprises contre les attaques des réseaux vocaux. Le rapport a souligné que près de la moitié (47 %) des organisations interrogées avaient subi une attaque de vishing (hameçonnage vocal) ou d’ingénierie sociale au cours de l’année précédente. L’énorme réseau Cisco Systems Inc a récemment fini par être lui-même victime, ce qui a finalement compromis les qualifications des employés.

L’entreprise basée en Californie a déclaré dans un article publié mercredi qu’une enquête avait en fait déterminé qu’un pirate informatique avait cambriolé le réseau de Cisco en pénétrant par effraction dans le compte personnel d’un employé, qui intégrait ses mots de passe conservés sur le Web. Cisco a fini par avoir conscience d’un éventuel compromis le 24 mai et l’a divulgué aujourd’hui après que le pirate a divulgué une liste des fichiers qu’ils avaient effectivement pris sur le dark web.

Les détectives pensent que l’attaque a été menée par un adversaire qui a déjà été reconnu comme un courtier d’accès initial pour de nombreux groupes de cybercriminalité infâmes : UNC2447, les opérateurs de rançongiciels Lapsus$ et Yanluowang. L’accès préliminaire aux courtiers tente d’acquérir un accès privilégié aux réseaux informatiques de l’entreprise, puis de l’offrir à d’autres pirates.

Comment les attaques de phishing vocal ont-elles été effectuées ?

Le message de Cisco suggère que le Les acteurs du risque de Yanluowang ont accédé au réseau de Cisco en utilisant les qualifications acquises par un employé après avoir piraté le compte individuel du membre du personnel. Ce compte comprenait des qualifications synchronisées à partir de leur navigateur Internet. L’opposant a ensuite persuadé l’employé de Cisco d’accepter les alertes push d’authentification multifacteur (MFA) en raison de la fatigue MFA et d’une série d’attaques de phishing vocales sophistiquées lancées par le gang Yanluowang qui se faisait passer pour des organisations d’assistance de confiance.

Enfin, les acteurs du risque ont trompé la victime en lui faisant accepter l’une des alertes MFA et ont accédé au VPN dans le contexte de l’utilisateur ciblé. Une fois qu’ils ont pris pied sur le réseau d’entreprise de l’entreprise, les opérateurs de Yanluowang se sont étendus latéralement aux serveurs et contrôleurs de domaine Citrix. « Ils sont passés à l’environnement Citrix, compromettant une série de serveurs Citrix, et ont finalement obtenu un accès privilégié aux contrôleurs de domaine », a déclaré Cisco Talos.

Après avoir acquis l’avantage de l’administrateur de domaine, les acteurs du danger ont utilisé des outils d’énumération tels que ntdsutil, adfind et secretsdump pour recueillir plus d’informations et mettre en place une série de charges utiles sur les systèmes menacés, consistant en une porte dérobée. Lorsque Cisco l’a détecté, les étoiles ont été instantanément expulsées de son environnement, mais elles ont continué à tenter de retrouver l’accès au cours des semaines suivantes.

COVID-19

Cisco Manager prévoit une ère d’opportunités post-Covid grâce à des réseaux dispersés

« Après avoir obtenu l’accès initial à, la star du risque a effectué une une variété d’activités pour préserver l’accès, minimiser les artefacts médico-légaux et augmenter leur niveau d’accès aux systèmes dans l’environnement », a ajouté Cisco Talos. « La star du risque a été éliminée avec succès de l’environnement et a fait preuve de détermination, essayant à plusieurs reprises de restaurer l’accès à dans les semaines qui ont suivi l’attaque ; néanmoins, ces efforts n’ont pas abouti. »

L’avantage est que Cisco n’a en fait « identifié aucune preuve suggérant que l’ennemi ait eu accès à des systèmes internes vitaux, tels que ceux liés à l’avancement des objets, à la finalisation du code, etc. », selon le site du blog. « La seule exfiltration d’informations réussie qui s’est produite tout au long de l’attaque consistait en le contenu d’un dossier Box qui était lié au compte d’un travailleur compromis. Les données obtenues par l’adversaire dans cette affaire n’étaient pas délicates. »

Dans une tournure des événements néanmoins, l’acteur du risque derrière le piratage de Cisco a envoyé par e-mail à BleepingComputer une liste de répertoires de fichiers apparemment volés lors de l’attaque. L’acteur dangereux a déclaré avoir volé 2,75 Go de données, soit environ 3 100 fichiers. Un certain nombre de ces fichiers sont des contrats de non-divulgation, des cessions de données et des dessins techniques. Les acteurs du danger ont également envoyé un fichier NDA expurgé pris lors de l’attaque à BleepingComputer comme preuve de l’attaque et un « indice » qu’ils ont violé le réseau de Cisco et exfiltré des fichiers.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici