Cisco von Yanluowang gehackt: Relevante bösartige Aktivitäten mit Sigma-Regeln-Kit erkennen

[post-views]
August 11, 2022 · 3 min zu lesen
Cisco von Yanluowang gehackt: Relevante bösartige Aktivitäten mit Sigma-Regeln-Kit erkennen

Am 10. August 2022, Cisco bestätigte offiziell den Hack seines Unternehmensnetzwerks durch die Yanluowang-Ransomware-Gruppe Anfang dieses Jahres. Der Tech-Gigant behauptet, dass der Vorfall intern am 24. Mai gemeldet und weiter von dem Cisco Security Incident Response (CSIRT) Team untersucht wurde.

Dieser Sicherheitsvorfall bei Cisco machte Schlagzeilen, nachdem die Yanluowang-Bedrohungsakteure eine Liste gestohlener Dateien im Darknet veröffentlicht hatten. Die Unternehmensvertreter behaupten, dass Gegner keine sensiblen Daten exfiltrieren konnten und nur Dateien aus dem exponierten Box-Ordner erworben haben. Laut der offiziellen Erklärung, die von Cisco Talosveröffentlicht wurde, nutzte der Yanluowang-Gruppe als anfänglichen Angriffsvektor das Versagen eines Mitarbeiters, die Phishing-Versuche der Gegner zu blockieren. Infolgedessen führten Phishing-Angriffe, die von der Yanluowang-Gruppe initiiert wurden, zur erfolgreichen Übernahme des persönlichen Google-Kontos eines Opfers, dem Diebstahl synchronisierter Anmeldedaten und dem Zugriff auf das Cisco-VPN.

Erkennen Sie Yanluowang-bezogene Kompromittierungen

Verwenden Sie das Regelpaket, das das Verhalten der Angreifer im Zusammenhang mit einem kürzlichen internen Vorfall bei Cisco abdeckt:

Sigma-basierte Regeln zur Erkennung nachteiliger Aktivitäten

Die Erkennungen sind für mehr als 26 SIEM-, EDR- und XDR-Plattformen verfügbar und stehen im Einklang mit dem MITRE ATT&CK®-Framework v.10.

Um Ihre Umgebung auf mögliche ransomware-basierte Verstöße zu überprüfen, können registrierte Nutzer auf die vollständige Liste der Erkennungsalgorithmen im Threat Detection Marketplace Repository der SOC Prime Platform zugreifen. Der Detect & Hunt Button bietet Ihnen Zugriff auf über 200.000 einzigartige Suchanfragen, Parser, SOC-fertige Dashboards, Sigma-, YARA-und Snort-kuratierten Regeln, Machine Learning-Modelle und Incident Response Playbooks, maßgeschneidert für 26 führende SIEM-, EDR- und XDR-Technologien.

Sicherheitspraktiker ohne Konto können die Sammlung von Erkennungsinhalten über die Suchmaschine für Cyber-Bedrohungen durchsuchen. Drücken Sie den Explore Threat Context Button, um Zugang zu einem One-Stop-Shop für kuratierte SOC-Inhalte zu erhalten.

Detect & Hunt Explore Threat Context

Yanluowang-Ransomware-Gruppe

Die Yanluowang-Ransomware-Gruppe existiert seit August 2021 und greift hauptsächlich US-amerikanische Unternehmen an. Interessanterweise ist die Ransomware-Familie nach einer chinesischen mythologischen Figur benannt, dem Herrscher der Unterwelt. Die mit diesem Bedrohungsakteur verbundenen TTPs weisen Ähnlichkeiten mit Ansätzen auf, die von UNC2447 und Lapsus$ Gruppen übernommen wurden.

Analyse des Sicherheitsvorfalls bei Cisco

Es ist kein Geheimnis, dass Ransomware-Betreiber oft Social Engineering als primäres Infektionsmittel verwenden. Die Yanluowang-Bedrohungsakteure nahmen auch den ausgetretenen Pfad, Ciscos Netzwerk zu durchbrechen, indem sie Phishing-Strategien anwendeten, um ein Ziel zu täuschen. Die Gegner starteten mehrere Voice-Phishing-Angriffe, die sich als legitime Organisationen ausgaben, mit dem Ziel, ein Opfer dazu zu bringen, Multi-Faktor-Authentifizierungsbenachrichtigungen zu genehmigen.

Nachdem ein Fuß in der Tür des kompromittierten Systems gesetzt war, bewegten sich die Angreifer lateral im Netzwerk, erreichten die Citrix-Umgebung und erlangten Domain-Admin-Rechte. Die Yanluowang-Betreiber setzten Werkzeuge wie secretsdump, ntdsutil und adfind zur Datenbeschaffung ein. Beweise deuten darauf hin, dass die Gegner zahlreiche bösartige Nutzlasten in kompromittierte Systeme injizierten.

Cisco-Produkte oder -Dienstleistungen sowie sensible Informationen von Mitarbeitern und Kunden bleiben trotz des Vorfalls sicher, heißt es in der offiziellen Erklärung des Anbieters zu dem Vorfall. Das CSIRT-Team bestätigte auch keine Fälle von Ransomware-Bereitstellungen im Rahmen dieses Vorfalls.

Widerstehen Sie einer Flut von Cybersecurity-Bedrohungen mit den erstklassigen Lösungen, die dafür ausgelegt sind, SOC-Profis mit den Werkzeugen und Erkenntnissen auszustatten, um potenziell hochkarätige Bedrohungen rechtzeitig zu identifizieren, bevor Angreifer Persistenzmechanismen einrichten, Daten stehlen oder Nutzlasten injizieren. Bleiben Sie mit SOC Prime!

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Interlock-Ransomware-Erkennung: Gemeinsame Warnung von FBI und CISA vor großangelegten ClickFix-Angriffen 3 min zu lesen Neueste Bedrohungen Interlock-Ransomware-Erkennung: Gemeinsame Warnung von FBI und CISA vor großangelegten ClickFix-Angriffen by Veronika Telychko Interlock-Ransomware-Erkennung: Angreifer setzen neue PHP-basierte RAT-Variante über FileFix ein 4 min zu lesen Neueste Bedrohungen Interlock-Ransomware-Erkennung: Angreifer setzen neue PHP-basierte RAT-Variante über FileFix ein by Veronika Telychko BERT-Ransomware erkennen: Angriffe in Asien, Europa und den USA auf Windows- und Linux-Systeme 5 min zu lesen Neueste Bedrohungen BERT-Ransomware erkennen: Angriffe in Asien, Europa und den USA auf Windows- und Linux-Systeme by Veronika Telychko
Alle Nachrichten