Yanluowang ランサムウェア ギャングによって Cisco がハッキングされ、2.8GB が盗まれたとされる のまとめ
はじめに
あのネットワーク機器大手のCiscoがハッキングされたとのことで、BleepingComputerの記事がありましたので紹介したいと思います。攻撃には中国の神「Yanluo Wang」から命名されるYanluowangランサムウェアが使われたとのことです。セキュリティシステムを提供するベンダによっては非常に不名誉なことですが、わずか2.8Gのデータ漏洩だけで済んだといいます。記事にそって詳しく見ていきましょう。
概要
BleepingComputerの記事には以下とあります。
シスコは本日、Yanluowang ランサムウェア グループが 5 月下旬に企業ネットワークに侵入し、攻撃者が盗んだファイルをオンラインで漏らすと脅して強要しようとしたことを確認しました。同社は、攻撃者が、侵害された従業員のアカウントにリンクされた Box フォルダーからのみ、機密ではないデータを収集して盗むことができることを明らかにしました。
まずは、機密情報は流出しなかったようです。
ただこれだけでは終わらず、8/10に攻撃者は、インシデントファイルのリストをダークウェブに公開したと続報があります。
以下Ciscoに届いた実際のYanluowangからのメールです。
cisco社は侵害された従業員のアカウントにリンクされた Box フォルダーからのみ、機密ではないデータを収集して盗むことができることを明らかにしています。
侵入の手口
侵入の手口としては以下の通りだったようです。
従業員にボイス フィッシング攻撃を仕掛ける
多要素認証に誘導しMFA攻撃でプッシュ通知を強引に承認させる
従業員のプライベートのGoogleアカウントを乗っ取り
従業員のアカウントでVPNアクセス権を得る
Citrix サーバを侵害し、ドメイン コントローラへの特権アクセスを取得
バックドア マルウェアを含む一連のペイロードをシステムにインストール
Ciscoの対応
Cisco社は侵入を検知した後、ネットワーク管理者とセキュリティ プロフェッショナルがマルウェアを検知できるように、バックドア検知用のClamAVとWindows特権昇格のパッチを充てたようです。
Win.Exploit.Kolobko-9950675-0
Win.Backdoor.Kolobko-9950676-0
最終的には、Ciscoは攻撃者を検出してその環境から排除しましたが、攻撃者はその後も数週間にわたってアクセスを回復しようと試み続けたようです。
ハッカーがCiscoから盗んだもの
8/10にハッカーからBleepingComputerあてに、攻撃によって盗んだファイルのリストが送られてきたとのことです。
攻撃者は、約 3,100 ファイルからなる 2.75 GB のデータを盗んだと主張しました。これらのファイルの多くは、機密保持契約、データ ダンプ、および設計図面です。
また、攻撃者は攻撃の証拠として編集済みのNDA ドキュメント添付しています。
現時点での影響
Cisco社はランサムウェアが行う暗号化の証拠は見つかっていないと述べています。また、今回の犯行はサイバー犯罪集団のUNC2447、Lapsus$、Yanluowang ランサムウェアオペレータと関係のある攻撃者のいずれかによって行われた可能性が高いとみています。
また、ハッカーはシスコのソースコードを盗んだと主張をしています。
証拠として、ハッカーは cisco.com URL で VMware vCenter 管理コンソールのスクリーンショットを共有しました。この vCenter ダッシュは、Cisco の CSIRT によって使用される GitLab サーバーとして名前が付けられたものを含む、多数の仮想マシンを示しています。
ただし、シスコは、攻撃中にソース コードが盗まれたという証拠はないと述べています。
最後に
記事を見る限り、ハッカーがciscoのシステムに侵入したものの、システム内部で行く手を阻まれたというのが実態だったようです。さすがCiscoさんです。ただ、ハッカーの手口は洗練されており、ボイスフィッシングや、MFA攻撃など、あの手この手で侵入を試みてくるというのが分かりました。
ありきたりですが、日ごろからの備えと、異常を検知するアンテナを張るのが大事だと思います。
この記事が気に入ったらサポートをしてみませんか?