سیسکو تالوس بینش های مربوط به حمله سایبری اخیر به سیسکو را به اشتراک می گذارد

دسترسی اولیه به Cisco VPN از طریق سازش موفقیت آمیز حساب Google شخصی یک کارمند سیسکو حاصل شد. کاربر همگام سازی رمز عبور را از طریق Google Chrome فعال کرده بود و اعتبار Cisco خود را در مرورگر خود ذخیره کرده بود ، و این اطلاعات را قادر می سازد تا با حساب Google خود همگام سازی کند. مهاجم پس از اخذ اعتبار کاربر ، سعی کرد با استفاده از تکنیک های متنوعی از جمله فیشینگ صوتی (با نام "vishing") و خستگی MFA ، احراز هویت چند عاملی (MFA) را دور بزند. تا زمانی که کاربر به طور تصادفی یا به سادگی برای سکوت اعلان های فشار مکرر که دریافت می کنند ، بپذیرد. Vishing یک تکنیک مهندسی اجتماعی به طور فزاینده ای است که به موجب آن مهاجمان سعی می کنند کارمندان را به فساد اطلاعات حساس از طریق تلفن فریب دهند. در این مثال ، یک کارمند گزارش داد که آنها چندین روز تماس تلفنی دریافت کرده اند که در آن تماس گیرندگان - که به زبان انگلیسی با لهجه ها و لهجه های مختلف بین المللی صحبت می کردند - گفته می شود که با سازمان های حمایتی که به کاربر اعتماد دارند ، در ارتباط هستند.

هنگامی که مهاجم دسترسی اولیه را بدست آورد ، آنها مجموعه ای از دستگاه های جدید را برای MFA ثبت نام کردند و با موفقیت به Cisco VPN تأیید شدند. مهاجم سپس به امتیازات اداری تشدید شد و به آنها اجازه می داد تا به چندین سیستم وارد شوند ، که به تیم واکنش حادثه امنیتی سیسکو ما (CSIRT) هشدار داد ، که متعاقباً به این حادثه پاسخ دادند. این بازیگر مورد نظر ابزارهای مختلفی از جمله ابزارهای دسترسی از راه دور مانند Logmein و TeamViewer ، ابزارهای امنیتی توهین آمیز مانند Cobalt Strike ، Powersploit ، Mimikatz و Impacket را کنار گذاشت و حساب های پشتی خود و مکانیسم های ماندگاری خود را اضافه کرد.

TTPS پس از سازمانه

پس از دسترسی اولیه به محیط زیست ، این بازیگر تهدید فعالیت های مختلفی را برای اهداف حفظ دسترسی ، به حداقل رساندن مصنوعات پزشکی قانونی و افزایش سطح دسترسی آنها به سیستم های موجود در محیط انجام داد.

هنگامی که روی یک سیستم ، بازیگر تهدید شروع به شمارش محیط زیست ، با استفاده از برنامه های کاربردی داخلی ویندوز برای شناسایی پیکربندی عضویت کاربر و گروهی از سیستم ، نام میزبان و شناسایی زمینه حساب کاربری که تحت آن کار می کردند. ما به طور دوره ای دستورات صدور مهاجم حاوی خطاهای تایپوگرافی را مشاهده کردیم ، که نشان می دهد تعامل اپراتور دستی در محیط رخ داده است.

پس از برقراری دسترسی به VPN ، مهاجم سپس شروع به استفاده از حساب کاربری سازش شده برای ورود به تعداد زیادی از سیستم ها قبل از شروع کار بیشتر به محیط زیست کرد. آنها به محیط Citrix منتقل شدند و مجموعه ای از سرورهای Citrix را به خطر انداختند و در نهایت دسترسی ممتاز به کنترل کننده های دامنه را بدست آوردند.

پس از دستیابی به کنترل کننده های دامنه ، مهاجم با استفاده از "ntdsutil. exe" مطابق با نحو زیر ، تلاش کرد تا NTD ها را از آنها دور کند:

آنها سپس برای جلوگیری از NTD های ریخته شده بر روی SMB (TCP/445) از کنترل کننده دامنه به سیستم VPN تحت کنترل خود تلاش کردند.

پس از دسترسی به بانکهای اطلاعاتی اعتبار ، مهاجم حسابهای دستگاه اعمال اعمال را برای تأیید اعتبار ممتاز و حرکت جانبی در سراسر محیط مشاهده کرد.

مطابق با فعالیتهایی که قبلاً در سایر حملات جداگانه اما مشابه مشاهده کرده بودیم ، دشمن یک کاربر اداری به نام "Z" را بر روی سیستم با استفاده از دستورات داخلی ویندوز "net. exe" ایجاد کرد. این حساب سپس به گروه مدیران محلی اضافه شد. ما همچنین مواردی را مشاهده کردیم که بازیگر تهدید رمز عبور حساب کاربری محلی موجود را به همان مقدار نشان داده شده در زیر تغییر داد. نکته قابل توجه ، ما قبل از حمله روسیه به اوکراین ، ایجاد حساب "Z" توسط این بازیگر را در مشاغل قبلی مشاهده کرده ایم.

سپس این حساب در بعضی موارد برای اجرای برنامه های اضافی ، مانند AdFind یا SecretSdump ، برای تلاش برای شمارش محیط خدمات دایرکتوری و به دست آوردن اعتبار اضافی مورد استفاده قرار گرفت. علاوه بر این ، بازیگر تهدید در تلاش برای استخراج اطلاعات رجیستری ، از جمله بانک اطلاعاتی SAM در میزبان ویندوز به خطر افتاده مشاهده شد.

در برخی از سیستم ها ، مهاجم با استفاده از Minidump از Mimikatz برای ریختن LSAS مشاهده شد.

مهاجم همچنین با حذف حساب مدیر محلی که قبلاً ایجاد شده است ، برای حذف شواهد فعالیت های انجام شده بر روی سیستم های به خطر افتاده اقدام کرده است. آنها همچنین از ابزار "wevtutil. exe" برای شناسایی و پاک کردن سیاهههای رویداد ایجاد شده بر روی سیستم استفاده کردند.

در بسیاری از موارد ، ما مشاهده کردیم که مهاجم حساب مدیر محلی قبلاً ایجاد شده را حذف کرده است.

برای جابجایی پرونده ها بین سیستم ها در داخل محیط ، بازیگر تهدید اغلب از پروتکل دسک تاپ از راه دور (RDP) و Citrix استفاده می کرد. ما آنها را در حال اصلاح تنظیمات فایروال مبتنی بر میزبان برای فعال کردن دسترسی RDP به سیستم ها مشاهده کردیم.

ما همچنین نصب ابزارهای دسترسی از راه دور اضافی مانند TeamViewer و Logmein را مشاهده کردیم.

مهاجم اغلب برای حفظ توانایی دسترسی به سیستم ها در محیط با امتیازات بالا ، از تکنیک های بای پس ویندوز استفاده می کرد. آنها غالباً به psexesvc. exe اعتماد می کردند تا از راه دور مقادیر کلید رجیستری زیر را اضافه کنند:

این امر به مهاجم این امکان را می دهد تا از ویژگی های دسترسی موجود در صفحه ورود به سیستم ویندوز استفاده کند تا یک فرمان سطح سیستم را تخم ریزی کند و به آنها کنترل کاملی از سیستم ها اعطا کند. در چندین مورد ، ما مشاهده کردیم که مهاجم این کلیدها را اضافه می کند اما بیشتر با سیستم در تعامل نیست ، احتمالاً به عنوان مکانیسم پایداری که بعداً به عنوان دسترسی اصلی ممتاز آنها مورد استفاده قرار می گیرد.

در طول حمله ، ما تلاش برای تبعید اطلاعات از محیط را مشاهده کردیم. ما تأیید کردیم که تنها تبعید داده های موفق که در حین حمله رخ داده است شامل محتویات یک پوشه جعبه است که با حساب کارکنان به خطر افتاده و داده های احراز هویت کارمندان از دایرکتوری فعال همراه بود. داده های جعبه به دست آمده توسط طرف مقابل در این مورد حساس نبود.

در هفته های پس از اخراج مهاجم از محیط زیست ، ما تلاش های مداوم برای برقراری مجدد دسترسی را مشاهده کردیم. در بیشتر موارد ، مهاجم به دنبال بازنشانی رمز عبور کارکنان ، هدف قرار دادن بهداشت ضعف رمز عبور مشاهده شد. آنها در درجه اول کاربرانی را هدف قرار دادند که معتقد بودند می توانند در رمزهای عبور قبلی خود تغییرات شخصیت واحد ایجاد کنند و سعی در استفاده از این اعتبارنامه ها برای تأیید اعتبار و بازیابی مجدد دسترسی به Cisco VPN داشتند. مهاجم در ابتدا از خدمات ناشناس سازی ترافیک مانند TOR استفاده می کرد. با این حال ، آنها پس از تجربه موفقیت محدود ، آنها به تلاش برای ایجاد جلسات جدید VPN از فضای IP مسکونی با استفاده از حساب هایی که قبلاً در مراحل اولیه حمله به خطر افتاده بودند ، تغییر دادند. ما همچنین ثبت نام چندین دامنه اضافی را که در هنگام پاسخ به این حمله به سازمان مراجعه می کنند ، مشاهده کردیم و قبل از استفاده از آنها برای اهداف مخرب ، روی آنها اقدام کردیم.

پس از حذف موفقیت آمیز از محیط زیست ، طرف مقابل نیز بارها و بارها سعی در برقراری ارتباطات ایمیل با اعضای اجرایی سازمان داشت اما تهدیدات خاصی یا خواسته های اخاذی ایجاد نکرد. در یک ایمیل ، آنها شامل تصویری بودند که لیست دایرکتوری داده های جعبه را نشان می داد که قبلاً همانطور که در ابتدا توضیح داده شد ، از آن خارج شده بود. در زیر تصویری از یکی از ایمیل های دریافت شده آورده شده است. دشمن قبل از ارسال ایمیل ، تصویر لیست فهرست دایرکتوری را دوباره تغییر داد.

تجزیه و تحلیل پشتی

این بازیگر مجموعه ای از بارهای بار را بر روی سیستم ها رها کرد که ما همچنان به تجزیه و تحلیل می پردازیم. بار اول بار یک پشتی ساده است که دستورات را از سرور فرمان و کنترل (C2) می گیرد و آنها را از طریق پردازنده فرمان Windows در سیستم پایان اجرا می کند. دستورات در حباب های JSON ارسال می شوند و برای یک پشتی استاندارد هستند. یک دستور "Delete_self" وجود دارد که پشتی را از سیستم به طور کامل خارج می کند. یک فرمان جالب تر ، "پاک کردن" ، به پشتی دستور می دهد تا آخرین فرمان اجرا شده را از حافظه حذف کند ، احتمالاً با هدف تأثیر منفی بر تجزیه و تحلیل پزشکی قانونی بر روی هر میزبان تحت تأثیر.

با استفاده از ساختار زیر ، دستورات با درخواست HTTP GET به سرور C2 بازیابی می شوند:

این بدافزار همچنین از طریق HTTP GET درخواست هایی که ساختار زیر را نشان می دهد با سرور C2 ارتباط برقرار می کند:

پس از درخواست اولیه سیستم آلوده ، سرور C2 با هش SHA256 پاسخ می دهد. ما در هر 10 ثانیه درخواست های اضافی را مشاهده کردیم.

درخواست های فوق الذکر HTTP با استفاده از رشته کاربر زیر کاربر ارسال می شود:

این بدافزار همچنین پرونده ای به نام "bdata. ini" را در فهرست کار فعلی بدافزار ایجاد می کند که حاوی مقداری حاصل از شماره سریال حجم موجود در سیستم آلوده است. در مواردی که این پشت پرده اجرا شد ، بدافزار از محل دایرکتوری زیر مشاهده شد:

مهاجم غالباً ابزارهای مرحله بندی را در مکان های دایرکتوری تحت مشخصات کاربر عمومی در سیستم هایی که از آن کار می کردند مشاهده می شد.

بر اساس تجزیه و تحلیل زیرساخت های C2 مرتبط با این پشتی ، ما ارزیابی می کنیم که سرور C2 به طور خاص برای این حمله تنظیم شده است.

انتساب حمله

بر اساس مصنوعات به دست آمده ، تاکتیک ها ، تکنیک ها و رویه ها (TTPs) شناسایی شده ، زیرساخت های مورد استفاده و تجزیه و تحلیل کامل از پشتی مورد استفاده در این حمله ، ما با اطمینان متوسط و بالا ارزیابی می کنیم که این حمله توسط یک طرف مقابل انجام شده است که قبلاً انجام شده است که قبلاً انجام شده استبه عنوان یک کارگزار دسترسی اولیه (IAB) با پیوند با UNC24447 و LAPSUS $ شناخته شده است. IAB ها به طور معمول سعی در دستیابی ممتاز به محیط های شبکه شرکت دارند و سپس با فروش آن به سایر بازیگران تهدید که می توانند آن را برای اهداف مختلفی از آن استفاده کنند ، از آن دسترسی کسب می کنند. ما همچنین فعالیت های قبلی را مشاهده کرده ایم که این بازیگر تهدید را به باند باج افزار Yanluowang ، از جمله استفاده از سایت نشت داده های Yanluowang برای ارسال داده های به سرقت رفته از سازمان های به خطر افتاده پیوند داده است.

UNC2447 یک بازیگر تهدید مالی با انگیزه مالی با یک رابطه با روسیه است که قبلاً مشاهده شده است که حملات باج افزار را انجام داده و از تکنیکی معروف به "اخاذی مضاعف" استفاده می کند ، که در آن داده ها قبل از استقرار باج گیری در تلاش برای مجبور کردن قربانیان در پرداخت راسوم ، از بین می روند. خواسته ها. گزارش قبلی نشان می دهد که UNC2447 مشاهده شده است که انواع باج افزار از جمله FiveHands ، Hellokitty و موارد دیگر را اداره می کند.

جدا از UNC2447 ، برخی از TTP ها که در طول تحقیقات ما کشف شده اند ، با مواردی از Lapsus $ مطابقت دارند. Lapsus $ یک گروه بازیگر تهدید است که گزارش می شود مسئولیت چندین نقض قابل توجه قبلی در محیط های شرکت را بر عهده داشته است. در اوایل سال جاری چندین بازداشت اعضای Lapsus $ گزارش شده است. Lapsus $ در حال به خطر انداختن محیط های شرکتی و تلاش برای تبعید اطلاعات حساس است.

در حالی که ما در این حمله استقرار باج افزار را رعایت نکردیم ، TTP های مورد استفاده با "فعالیت قبل از هجوم" سازگار بودند ، فعالیت هایی که معمولاً منجر به استقرار باج افزار در محیط های قربانی می شود. بسیاری از TTP های مشاهده شده با فعالیت مشاهده شده توسط CTIR در طول درگیری های قبلی سازگار هستند. تجزیه و تحلیل ما همچنین استفاده مجدد از زیرساخت های سمت سرور مرتبط با این تعامل های قبلی را نیز نشان می دهد. در درگیری های قبلی ، ما همچنین استقرار باج افزار در محیط های قربانی را مشاهده نکردیم.

پاسخ و توصیه های سیسکو

سیسکو بلافاصله پس از اطلاع از این حادثه، یک بازنشانی رمز عبور در سراسر شرکت را اجرا کرد. CTIR قبلاً در تحقیقات متعدد از سال 2021، TTPهای مشابهی را مشاهده کرده بود. یافته‌های ما و حفاظت‌های امنیتی بعدی ناشی از آن تعاملات مشتری به ما کمک کرد پیشرفت مهاجم را کند کرده و مهار کنیم. ما دو امضای ClamAV ایجاد کردیم که در زیر لیست شده است.

• Win. Exploit. Kolobko-9950675-0
• Win. Backdoor. Kolobko-9950676-0

عوامل تهدید معمولاً از تکنیک‌های مهندسی اجتماعی برای به خطر انداختن اهداف استفاده می‌کنند و علیرغم فراوانی چنین حملاتی، سازمان‌ها همچنان با چالش‌هایی برای کاهش این تهدیدها مواجه هستند. آموزش کاربران در خنثی کردن چنین حملاتی بسیار مهم است، از جمله اطمینان از اینکه کارمندان از راه های قانونی تماس پرسنل پشتیبانی با کاربران اطلاع دارند تا کارمندان بتوانند تلاش های تقلبی برای به دست آوردن اطلاعات حساس را شناسایی کنند.

با توجه به مهارت نشان داده شده بازیگر در استفاده از طیف گسترده ای از تکنیک ها برای دستیابی به دسترسی اولیه، آموزش کاربر نیز بخش کلیدی مقابله با تکنیک های بای پس MFA است. برای اجرای MFA به همان اندازه مهم این است که اطمینان حاصل شود که کارکنان در مورد اینکه در صورت دریافت درخواست‌های فشار اشتباه روی تلفن‌های مربوطه خود، چه کاری انجام دهند و چگونه پاسخ دهند، آموزش دیده‌اند. همچنین ضروری است به کارکنان آموزش داده شود که در صورت بروز چنین حوادثی با چه کسی تماس بگیرند تا مشخص شود آیا رویداد یک مشکل فنی یا مخرب بوده است.

برای Duo، اجرای راستی‌آزمایی قوی دستگاه با اعمال کنترل‌های سخت‌گیرانه‌تر در مورد وضعیت دستگاه برای محدود کردن یا مسدود کردن ثبت‌نام و دسترسی از دستگاه‌های مدیریت‌نشده یا ناشناخته مفید است. علاوه بر این، استفاده از تشخیص خطر برای برجسته کردن رویدادهایی مانند استفاده از یک دستگاه کاملاً جدید از مکان غیر واقعی یا الگوهای حمله مانند brute force ورود به سیستم می‌تواند به شناسایی دسترسی غیرمجاز کمک کند.

قبل از اجازه دادن به اتصالات VPN از نقاط پایانی راه دور، اطمینان حاصل کنید که بررسی وضعیت به گونه‌ای پیکربندی شده است که یک مجموعه پایه از کنترل‌های امنیتی را اعمال کند. این تضمین می کند که دستگاه های اتصال با الزامات امنیتی موجود در محیط مطابقت دارند. این همچنین می تواند از اتصال دستگاه های سرکشی که قبلاً تأیید نشده اند به محیط شبکه شرکتی جلوگیری کند.

بخش‌بندی شبکه یکی دیگر از کنترل‌های امنیتی مهمی است که سازمان‌ها باید از آن استفاده کنند، زیرا حفاظت پیشرفته‌تری را برای دارایی‌های با ارزش بالا فراهم می‌کند و همچنین قابلیت‌های شناسایی و پاسخ مؤثرتری را در موقعیت‌هایی که دشمن قادر به دسترسی اولیه به محیط است را ممکن می‌سازد.

جمع آوری ورود به سیستم متمرکز می تواند به به حداقل رساندن عدم دید که در نتیجه یک مهاجم اقدامات فعال برای حذف سیاهههای مربوط به سیستم ها انجام می دهد ، به حداقل برسد. اطمینان از اینکه داده های ورود به سیستم توسط نقاط پایانی به صورت مرکزی جمع آوری شده و برای رفتار غیر عادی یا کاملاً مخرب تجزیه و تحلیل می شوند ، می توانند هنگام انجام حمله ، نشانه های اولیه را ارائه دهند.

در بسیاری از موارد ، بازیگران تهدید در تلاش برای حذف بیشتر توانایی سازمان در بازیابی پس از حمله ، زیرساخت های پشتیبان را هدف قرار داده اند. اطمینان از اینکه پشتیبان گیری آفلاین و آزمایش دوره ای می تواند به کاهش این خطر کمک کرده و از توانایی سازمان در بازیابی موثر در پی حمله اطمینان حاصل کند.

حسابرسی اجرای خط فرمان در نقاط پایانی همچنین می تواند باعث افزایش دید در اقدامات انجام شده بر روی سیستم های محیط زیست شود و می تواند برای تشخیص اجرای مشکوک آب و برق ویندوز داخلی ، که معمولاً در هنگام نفوذ مشاهده می شود ، استفاده شود که بازیگران تهدید به برنامه های خوش خیم یا متکی هستندبرنامه های کاربردی که قبلاً در محیط برای شمارش ، افزایش امتیاز و فعالیت های حرکتی جانبی وجود دارد.

نقشه برداری Miter Att & CK

تمام TTP های قبلاً توصیف شده که در این حمله مشاهده شده اند ، بر اساس مرحله حمله ای که در آن رخ داده است در زیر ذکر شده است.