思科（Cisco）週三證實：今年五月，Yanluowang 勒索軟件團伙入侵了該公司的網絡，並試圖利用線上洩露的被盜文件索取贖金。即便如此，思科還是堅稱攻擊者僅從與受感染員工賬戶相關聯的Box 文件夾中，獲取並竊取了非敏感數據。

思科發言人在接受BleepingComputer採訪時稱，該公司網絡於2022 年5 月下旬經歷了一起安全事件，但他們已迅速採取行動、將不良行為者遏制並清除。

思科未發現此事件對公司的業務運營造成任何影響，包括思科產品與服務、敏感的客戶數據/ 員工信息、知識產權、或供應鏈運營。

8 月10 日，攻擊者將本次安全事件中竊取的文件列表發佈到暗網。

不過我們已經採取額外措施來保護公司係統、同時分享了技術細節，以幫助保護更廣泛的安全社區。

據悉，Yanluowang 攻擊者在劫持了員工的個人Google 賬戶（包含從起瀏覽器同步的憑據）後，使用被盜的身份驗證信息獲得了對思科網絡的訪問權限。

接著攻擊者利用多因素身份驗證推送通知，來說服思科員工接受MFA，然後利用假冒受信任的支持組織，發起一系列複雜的語音網絡釣魚攻擊。

洩露文件列表（圖via BleepingComputer）

威脅行為者最終誘騙受害者接受其中一個MFA 通知，並在目標用戶的上下文內容中獲得了對虛擬專用網的訪問權限。

一在企業內網站穩腳跟，Yanluowang 團伙就開始橫向傳播，繼而染指思科的服務器和域控制器。

思科旗下威脅情報組織Talos 在調查後發現，攻擊者進入了Citrix 環境並破壞了一系列服務器，並最終獲得了對域控制器的特權訪問。

在獲得域管理員權限後，黑客又利用ntdsutil、adfind 和secretsdump 等枚舉工具收集到了更多信息，從而將一系列有效負載安裝到受感染的系統上（包括後門）。

慶幸的是，思科很快檢測到、並從內網環境中將攻擊者驅逐了出去。

然而不死心的Yanluowang 團伙，還是在碰壁後的接下來幾週時間裡，不斷嘗試重新獲取訪問權限。

Talos 補充道：“在獲得初始訪問權限後，威脅參與者開展了各種活動來維持和提升其在系統中的訪問權限，並儘最大限度地減少了取證偽影”。

上週，幕後威脅參與者通過電子郵件，向BleepingComputer 發送了一份據稱在攻擊期間被盜取的文件目錄。

該團伙聲稱掌握了2.75 GB 的數據，其中包括大約3100 個文件，且不少與保密協議、數據轉儲和工程圖紙有關。

為證明數據洩露的真實性，它們還向外媒分享了一份經過編輯的NDA 文件。

即便如此，思科方面還是回應稱—— 儘管Yanluowang 團伙以加密受害者的文件而臭名昭著，但該公司並未在這輪攻擊過程中發現有勒索軟件得逞的證據。

至於幕後黑手的真實身份，Talos 比較肯定它們與先前被確定為UNC2447 的網絡犯罪團伙和Lapsus$ 等有關。

此外Yanluowang 最近聲稱入侵了美國零售巨頭沃爾瑪的系統，但相關報導並未發現勒索軟件攻擊的證據。