Yanluowang에 의해 해킹된 Cisco: Sigma 규칙 키트로 관련 악성 활동 탐지

2022년 8월 10일, Cisco 는 올해 초 Yanluowang 랜섬웨어 그룹에 의해 자사 네트워크가 해킹됐음을 공식 확인했습니다. 이 기술 대기업은 5월 24일에 내부적으로 침해가 보고되었으며 Cisco 보안 사고 대응팀(CSIRT)이 추가로 조사했다고 주장합니다.

이 Cisco의 보안 사고는 Yanluowang 위협 행위자들이 도난당한 파일 목록을 다크웹에 유출한 이후 헤드라인을 장식했습니다. 회사 대표는 적들이 노출된 Box 폴더에서 파일만 획득하고 민감한 데이터를 탈취하지 못했다고 주장합니다. 공식 성명서에 따르면 Cisco Talos에 의해 Yanluowang 갱단이 활용한 초기 공격 벡터는 한 직원의 피싱 시도 차단 실패였습니다. 결과적으로 Yanluowang 갱단에 의해 시작된 피싱 공격은 피해자의 개인 Google 계정을 성공적으로 탈취하고, 동기화된 자격 증명을 훔치며 Cisco VPN에 접근하는 결과를 초래했습니다.

Yanluowang 관련 손상 탐지

최근 Cisco 내부 사고와 관련된 공격자의 행동을 포괄하는 규칙 패키지를 사용하십시오:

역기반 규칙을 사용한 악성 활동 탐지

탐지는 26개 이상의 SIEM, EDR 및 XDR 플랫폼에 대해 사용 가능하며, MITRE ATT&CK® 프레임워크 v.10에 맞춰 정렬되었습니다.

랜섬웨어 기반 침해 가능성을 스캔하려면 등록 사용자가 SOC Prime Platform의 Threat Detection Marketplace 리포지토리에 있는 전체 탐지 알고리즘 목록에 접근할 수 있습니다. 탐지 및 사냥 버튼을 누르면 200,000개 이상의 고유한 헌팅 쿼리, 파서, SOC 준비 대시보드, Sigma, YARA 및 Snort 큐레이션된 규칙, 머신러닝 모델, 그리고 26개 유명 SIEM, EDR 및 XDR 기술에 맞춰진 사고 대응 플레이북에 접근할 수 있습니다.

계정이 없는 보안 실무자들은 Cyber Threats Search Engine을 통해 제공되는 탐지 콘텐츠 아이템 컬렉션을 탐색할 수 있습니다. 위협 컨텍스트 탐색 버튼을 누르면 큐레이션된 SOC 콘텐츠를 위한 원스톱 숍에 접근할 수 있습니다.

탐지 및 사냥 위협 컨텍스트 탐색

Yanluowang 랜섬웨어 그룹

Yanluowang 랜섬웨어 갱단은 2021년 8월부터 주로 미국 기반 기업을 공격해왔습니다. 흥미롭게도 이 랜섬웨어 군은 중국 신화의 지하세계 통치자 캐릭터 이름을 따랐습니다. 이 위협 행위자와 관련된 TTPs는 UNC2447과 Lapsus$ 그룹이 채택한 접근법과 유사성을 나타냅니다.

Cisco의 보안 사건 분석

랜섬웨어 운영자들이 사회 공학을 주요 감염 벡터로 자주 사용한다는 것은 비밀이 아닙니다. Yanluowang 위협 행위자들 또한 타겟을 속이기 위해 피싱 전략을 적용하여 Cisco 네트워크를 침해했습니다. 적들은 여러 음성 피싱 공격을 합법적 조직으로 가장하여 Multifactor Authentication 알림을 승인하도록 희생자를 속이는 것을 목표로 했습니다.

침해된 시스템에서 발판을 마련한 후 공격자들은 네트워크 주위를 측면으로 이동하여 Citrix 환경에 도달하고 도메인 관리자 권한을 얻었습니다. Yanluowang 운영자들은 secretstump, ntdsutil 및 adfind와 같은 도구를 데이터 수집에 사용했습니다. 증거는 적들이 침해된 시스템에 수많은 악성 페이로드를 주입했음을 시사합니다.

이 사건에도 불구하고 Cisco 제품 또는 서비스뿐만 아니라 직원 및 고객의 민감한 정보도 여전히 안전하다는 것이 공식 공급업체 성명에 있습니다. CSIRT 팀 또한 이 사건 내에서 랜섬웨어 배포 사례를 확인하지 않았습니다.

고급 위협 식별 메커니즘을 설정하고, 데이터를 도용하거나 페이로드를 주입하기 전에 잠재적으로 중요한 위협을 신속하게 식별할 수 있는 도구와 통찰력으로 SOC 전문가를 준비하도록 설계된 최고급 솔루션으로 사이버 보안 위협의 범람에 저항하십시오. 위협 사냥의 최신 정보를 유지하려면 SOC Prime!