Ciscoがヤンルオワンにハッキングされた：Sigmaルールキットで関連する悪意のある活動を検出

2022年8月10日に、 シスコ は、今年初めにYanluowangランサムウェアグループによる企業ネットワークのハッキングを正式に確認しました。この技術巨人は、侵害が5月24日に内部で報告され、Ciscoセキュリティインシデント対応（CSIRT）チームによってさらに調査されたと主張しています。

このシスコのセキュリティインシデントは、Yanluowangの脅威アクターが盗まれたファイルのリストをダークネットに漏らした後、注目を集めました。 会社の代表者は、攻撃者は敏感なデータを抽出することはできず、露出したBoxフォルダからのみファイルを取得したと主張しています。公式声明によると シスコタロス、Yanluowangのグループが使用した初期の攻撃ベクターは、従業員の一人が攻撃者のフィッシング試みをブロックできなかったことでした。その結果、Yanluowangグループによって開始されたフィッシング攻撃は、被害者の個人のGoogleアカウントをハイジャックし、同期された資格情報を盗み、Cisco VPNにアクセスすることに成功しました。

Yanluowang関連の侵害を検出する

最近のシスコ内部のインシデントに関連する攻撃者の行動をカバーするルールのパックを使用する：

逆活動を検出するためのSigmaベースのルール

検出は26以上のSIEM、EDR & XDRプラットフォームで利用可能で、 MITRE ATT&CK®フレームワーク v.10 に整合しています。

ランサムウェアベースの侵害の可能性をスキャンするために、登録ユーザーはSOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリで利用可能なすべての検出アルゴリズムのリストにアクセスできます。 検出&ハント ボタンを押すと、200,000以上のユニークなハンティングクエリ、パーサー、SOC対応のダッシュボード、Sigma、YARA、Snortのキュレーター作成のルール、機械学習モデル、およびインシデント対応プレイブックのアクセスを提供します。これらは業界をリードする26のSIEM、EDR、XDR技術に対応しています。

アカウントを持たないセキュリティ実務者は、Cyber Threats Search Engineを介して利用可能な検出コンテンツアイテムのコレクションをナビゲートできます。 脅威の文脈探索 ボタンを押して、編成されたSOCコンテンツのワンストップショップにアクセスします。

検出&ハント 脅威の文脈探索

Yanluowangランサムウェアグループ

Yanluowangランサムウェアグループは2021年8月以来存在しており、主に米国を拠点とする企業を攻撃しています。興味深いことに、このランサムウェアファミリーは、中国の神話のキャラクターである冥界の支配者の名前にちなんでいます。この脅威アクターに関連付けられるTTPは、UNC2447や Lapsus$ グループによって適用されたアプローチとの類似点を示しています。

シスコのセキュリティインシデント分析

ランサムウェアオペレーターが社会工学を主要な感染ベクターとして使用することは秘密ではありません。Yanluowangの脅威アクターもまた、シスコのネットワークに侵入するためにフィッシング戦略を適用してターゲットをだますというよく知られた道をたどりました。攻撃者は複数のボイスフィッシング攻撃を仕掛け、正規の組織を装い、被害者にマルチファクタ認証の通知を承認させることを目的としました。

侵害されたシステムで足場を築くと、攻撃者はネットワーク内を横断し、Citrix環境に到達し、ドメイン管理者の権限を得ました。Yanluowangオペレーターは、データ収集のためにsecretsdump、ntdsutil、およびadfindのようなツールを使用しました。証拠によれば、攻撃者は多数の悪意のあるペイロードを侵害されたシステムに注入しました。

このインシデントにもかかわらず、ベンダーの公式声明によると、シスコの製品やサービス、ならびに従業員や顧客の機密情報は安全のままです。また、CSIRTチームはこのインシデント内でランサムウェアの展開事例を確認しませんでした。

サイバーセキュリティの脅威の雪崩を耐え抜くために、SOCプロフェッショナルが持続可能なメカニズムを設定し、データを盗んだり、ペイロードを注入したりする前に、潜在的なハイプロファイルの脅威をタイムリーに特定するためのツールと洞察を提供する最高級のソリューションを活用してください。 SOC Prime!