Một tháng sau khi xác nhận hệ thống của mình bị xâm phạm, gã khổng lồ mạng Cisco đã báo cáo rằng cuộc tấn công là một nỗ lực ransomware thất bại được thực hiện thay mặt cho Nhóm lapsus $.
Tội phạm mạng đã có được quyền truy cập vào hệ thống của Cisco bằng tấn công kỹ thuật xã hộik bắt đầu bằng việc kẻ tấn công chiếm quyền kiểm soát tài khoản Google cá nhân của nhân viên, nơi thông tin đăng nhập được lưu trong trình duyệt của nạn nhân đang được đồng bộ hóa. Sau đó, trong một loạt các cuộc tấn công lừa đảo bằng giọng nói phức tạp, băng nhóm này đã thuyết phục nạn nhân chấp nhận thông báo đẩy xác thực đa yếu tố (MFA), giúp kẻ gian có khả năng đăng nhập vào VPN của công ty như thể họ là nạn nhân.
Từ đó, những kẻ tấn công có thể xâm phạm hệ thống của Cisco, nâng cao đặc quyền, loại bỏ các công cụ truy cập từ xa, triển khai Cobalt Strike và phần mềm độc hại tấn công khác, đồng thời thêm các cửa hậu của riêng chúng vào hệ thống.
“Dựa trên các hiện vật thu được, chiến thuật, kỹ thuật và quy trình (TTP) được xác định, cơ sở hạ tầng được sử dụng và phân tích kỹ lưỡng về cửa sau được sử dụng trong cuộc tấn công này, chúng tôi đánh giá với độ tin cậy từ trung bình đến cao rằng cuộc tấn công này được thực hiện bởi một kẻ thù đã bị tấn công.” trước đây được xác định là nhà môi giới truy cập ban đầu (IAB) có mối quan hệ với cả UNC2447 và Lapsus$,” nhóm Cisco Talos giải thích trong một Bản cập nhật ngày 11 tháng XNUMX về vụ vi phạm tháng 8. “Mặc dù chúng tôi không quan sát thấy việc triển khai ransomware trong cuộc tấn công này, nhưng các TTP được sử dụng phù hợp với 'hoạt động trước ransomware', hoạt động thường được quan sát dẫn đến việc triển khai ransomware trong môi trường nạn nhân.”
