前情提要

Cisco 在今年 5月 24 日，受到了駭客勒索組織閻羅王 （Yenlowang） 的惡意侵入。根據 Cisco透過 TTPs （ tactics, techniques, and procedures） 的比對，此次的攻擊很有可能為 IAB 所為。IAB為一個以侵害網絡系統，並竊取資料進行勒索聞名的惡意勒索組織，在過去的 UNC2447 和 Lapsus$ 網路犯罪事件，也都與 IAB 有關。此外，因為駭客也使用了駭客組織閻羅王 （Yenlowang） 的網站公開部份攻擊資料，故Cisco也不排除閻羅王 （Yenlowang） 組織與本次資安事件的關聯性。

 

攻擊手法與經過

駭客先透過入侵員工的 Google 帳號，並掌握了該名員工同步儲存在 Google Chrome 瀏覽器中的公司憑證。在取得公司憑證之後，駭客組織為了規避系統的多重驗證功能，便假冒為該名員工信任的數個組織，不停透過大量的郵件寄送、撥打電話和語言釣魚「多重驗證」訊息，使該名員工在產生資訊安全意識疲勞之後，接受了訊息提示，達成駭客的目標- 進入公司憑證資料庫。

之後，駭客組織自行建立使用者帳號 （帳號名稱：z） ，成功進入了Cisco 的 VPN 網絡並透過 Window 的內建程式碼 （“net.exe” 指令），自行提升對於公司系統的造訪權限。在獲得最高權限之後，駭客們在 Cisco 系統中惡意加入了數個工具，例如：遠端造訪工具 （remote access tools like LogMeIn and TeamViewer）、攻擊工具 （Cobalt Strike, PowerSploit, Mimikatz, and Impacket） 同時也在系統中植入了多個後門程式。最後，駭客們在入侵完 Cisco VPN 環境之後，也轉移到 Citrix 系統的環境中，並侵入數個 Citrix 的伺服器，並取得了對於 Cisco 網域的控制權限。

為了維持其盜取的admin權限和降低被系統偵測到的可能性，駭客組織利用“wevtutil.exe” 指令，刪除其在網絡中的可疑活動記錄 （log）； 或是在入侵結束之後，自行刪除其先前為了入侵 Cisco 而自行建立的 z 帳號。然而，駭客組織為了開啟遠端執行控制，而發起的可疑 host-based firewall configurations 活動受到 Cisco 的技術人員的關注，Cisco 技術團隊也在確認後將此駭客組織移除。

 

影響範圍

雖然駭客組織在 Yanluowang 的網站上貼出了一系列檔案的截圖，並自稱他們已取得 2.75 GB （約3100個檔案） ，其中包含許多不公開的機密文件；Cisco 資安事件應變小組 （CSIRT）與其資安子公司 （Cisco Talo） 認為目前確定駭客所取得的資料為該名受害員工的個人帳號以及部份公司內部人員的AD資料，並沒有發現任何內部敏感資料，像是：產品開發、開發程式碼等等遭到竊取。 Cisco 內部的技術人員也在後續偵測到多次可疑的入侵活動，像是 traffic anonymization services 和 registration of several additional domains，並在駭客活動成功造成危害前，就皆已將其徹底移除。

然而，駭客組織卻在 8 月 14 日，使用 Email 向 BleepingComputer 技術新聞網站透露他們在攻擊中已經掌握了 Cisco 的產品源碼，並附上 Cisco.com VMware vCenter administrator console 的截圖佐證，在其截圖的源碼中，也涉及數個虛擬機，例如：一個由 CSIRT 使用，名為 GitLab 的伺服器。對此，Cisco 抱持著懷疑的態度回應了 Bleepingcomputer 的詢問：「我們並不認為駭客們知道的比我們公開的訊息還要多。」

原文："We have no evidence to suggest the actor accessed Cisco product source code or any substantial access beyond what we have already publicly disclosed."

 

資安建議

Cisco 對於本次資安事件提出了以下反省和建議：

1. 有鑑於社交工程和釣魚手法的發展，各公司需做好員工對於資料保護的訓練，確定員工在面對不合理的釣魚信件時，仍能保有堅定的資安意識；並建立明確的處理機制，讓員工在有疑慮時可以先向公司內部的專業人員請教。

2. 由於許多駭客組織在侵入公司系統時，皆會使用自建的新帳號。因此，公司內部網路系統的設置應特別關注「過去沒有活動記錄」或是「末知」的設備和帳號活動。

3. 對於系統活動的log記錄，需以集中化和可視化的方式進行監測和管理，益於在可疑活動記錄被刪除前提前發覺可疑攻擊者的活動。

4. 網路系統上，盡量將網絡區分為不同的模組，並在每一個模組間建立不同的安全設定，可以分散高價值的網絡系統或資料受到一次性竊取的問題，也可以協助更快速的追蹤駭客的入侵途徑。

 

資料參考

1. Cisco Talos shares insights related to recent cyber attack on Cisco, Talos （10 Aug 2022）: http://blog.talosintelligence.com/2022/08/recent-cyber-attack.html

2. Cisco hacked by Yanluowang ransomware gang, 2.8GB allegedly stolen, BleepingComputer （1- Aug 2022）: https://www.bleepingcomputer.com/news/security/cisco-hacked-by-yanluowang-ransomware-gang-28gb-allegedly-stolen/

3. 思科坦承遭網路攻擊，公布完整攻擊鏈, iThome （11 Aug 2022）: https://www.ithome.com.tw/news/152437?fbclid=IwAR3GZs_0sLNPcaOH2CDK_WWCixPg6Gg-Vwr4PlKdTtGB4FxRCyU--aJZYC4&fs=e&s=cl