Cisco Talos Intelligence Groupは8月10日(米国時間)、「Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Cisco Talos shares insights related to recent cyber attack on Cisco」において、2022年5月24日に同社がサイバー攻撃を受けたと伝えた。調査の結果、従業員の個人的なGoogleアカウントがサイバー犯罪者に悪用されたことから、攻撃が始まったことがわかったと報告している。
-
Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Cisco Talos shares insights related to recent cyber attack on Cisco
サイバー犯罪者はCisco VPNにアクセスするために、まずシスコシステムズの従業員の個人的なGoogleアカウント情報を窃取している。次に、従業員に対してボイスフィッシング攻撃や多要素認証(MFA: Multi-Factor Authentication)攻撃など、さまざまなサイバー攻撃を仕掛けてシスコの多要素認証をバイパスしようと試みたことがわかった。そして最終的にアクセス権を入手し、新しいデバイスを多要素認証に登録してCisco VPNへの認証に成功したとのことだ。
また、サイバー犯罪者がCisco VPNに侵入後、LogMeInやTeamViewerなどのリモートアクセスツール、Cobalt Strike、PowerSploit、Mimikatz、Impacketなどの攻撃型セキュリティツールなどを展開していたことも明らかとなった。
同社はこのサイバー攻撃に対してすぐに対応を行い、全社的なパスワードリセットを実施。インシデントの発見以来、シスコのネットワークへのアクセスの試みをブロックすることに成功したとしている。また、製品開発やコード署名などに関連する重要な社内システムへのアクセスを獲得したことを示唆する証拠は確認されていないとも発表している。
CiscoのセキュリティチームであるCisco Security Incident Response (CSIRT) は今回のサイバー攻撃が、サイバー犯罪組織「UNC2447」、脅威者グループ「LAPSUS$」、および「Yanluowang」ランサムウェア運営者と関係のある初期アクセスブローカ(IAB: Initial Access Broker)によるものと結論付けている。
