Yanluowang 랜섬웨어 조직에 의해 해킹된 시스코, 2.8GB 도난

2022년 8월 10일, 시스코는 Yanluowang 랜섬웨어 조직이 5월 말 회사 네트워크를 침해하여, 이 행위자가 도난당한 파일을 온라인 상에 유출하겠다는 위협 하에 이를 갈취하려 했다고 확인했습니다.

 

시스코는 공격자가 감염된 직원의 계정에 연결된 Box 폴더에서 중요하지 않은 데이터만 수집하고 훔칠 수 있다고 밝혔습니다.

 

시스코 대변인은 “2022년 5월 말 사내 네트워크에서 보안 사고가 있었고, 즉시 악의적인 행위를 근절하기 위한 조치를 취했다”고 말했습니다.

 

시스코는 “해당 보안 사고가 시스코의 제품·서비스, 민감한 고객 데이터·직원 정보, 지적 재산 또는 공급망 운영을 포함한 비즈니스에 어떤 영향을 미치는지 확인하지 않았다”며, “8월 10일 공격자들은 해당 보안 사고에서 수집한 파일 목록을 다크웹에 게시했다”고 밝혔습니다.

 

이에, 시스코는 시스템을 보호하기 위해 추가 조치를 구현했으며, 더 넓은 보안 커뮤니티를 보호하는데 도움이 되는 기술 세부 정보를 공유하고 있다고 말했습니다.

[그림 1] 시스코에게 쓴 Yanluowang 이메일 (출처 : Cisco Talos)

 

시스코의 네트워크를 침해하기 위해 직원의 자격 정보를 도용해

Yanluowang의 위협 행위자는 브라우저로부터 동기화된 자격 증명이 포함된 직원의 개인 구글 계정을 탈취한 후, 해당 정보를 사용하여 시스코 네트워크에 접근하였습니다.

 

공격자는 반복적인 MFA로 인한 부주의와 신뢰할 수 있는 지원 조직을 사칭한 Yanluowang 조직에 의해 시작된 일련의 정교한 보이스피싱 공격을 통해 다단계 인증(MFA) 푸시 알림을 수락하도록 유도했습니다.

 

최종적으로 위협 행위자는 피해자를 속여 MFA 알림 중 하나를 수락하도록 하고, 대상 사용자의 VPN 접근 권한을 얻었습니다.

 

Yanluowang 운영자는 시스코의 기업 네트워크 침입에 성공한 뒤, Citrix 서버 및 도메인 컨트롤러로 접근했습니다.

 

시스코 Talos는 “Citrix 환경으로 이동하여 Citrix 서버를 손상시키고, 도메인 컨트롤러에 대한 접근 권한을 획득했다”고 말했습니다.

 

이후, ntdsutil, adfind 및 secretsdump와 같은 도구를 사용하여 더 많은 정보를 수집하고, 감염된 시스템에 백도어를 포함한 페이로드를 설치했습니다.

 

궁극적으로 시스코는 이를 탐지하여 해당 환경에서 제거했으나, 한동안 계속해서 접근 권한을 되찾기위해 노력했다고 밝혔습니다.

 

시스코 Talos는 “공격자는 초기 접근 권한을 획득한 후 접근을 유지하여 포렌식 아티팩트를 최소화했고, 환경 내 시스템에 대한 접근 권한 상승을 위해 다양한 활동을 수행했다”고 덧붙였습니다.

 

위협 행위자가 환경에서 제거된 이후에도 반복적으로 접근 권한을 되찾기 위해 공격을 시도했으나, 이러한 시도는 실패했다고 밝혀졌습니다.

 

공격자는 시스코에서 데이터를 훔쳤다고 주장해

시스코 해킹을 주도한 공격자는 공격 중에 탈취한 것으로 의심되는 파일의 디렉토리 목록을 지난 주에 BleepingComputer 이메일로 보냈습니다.

 

공격자는 약 3,100개의 파일로 구성된 2.75GB의 데이터를 훔쳤다고 주장했습니다. 해당 파일 중 대부분은 기밀 유지 계약, 데이터 덤프 및 엔지니어링 도면입니다.

 

또한, 위협 행위자는 도난당한 NDA 문서를 공격의 증거로서 시스코의 네트워크를 침해하여 파일을 탈취했다고 증명했습니다.

[그림 2] 시스코 유출 증명 문서 (출처 : BleepingComputer)

 

2022년 8월 10일, 공격자들은 데이터 유출 사이트에서 시스코 침해 사실을 알리고, 이전에 BleepingComputer에 보냈던 동일한 디렉토리 목록을 게시하였습니다.

[그림 3] 유출 사이트에 시스코 침해 사실을 게시한 Yanluowang 랜섬웨어 조직 (출처 : CyberKnow 트위터)

 

시스코 시스템에 배포된 랜섬웨어는 없어

Yanluowang은 피해자의 파일을 암호화하는 것으로 알려져 있지만, 시스코는 공격 중에 랜섬웨어 페이로드와 관련된 증거를 찾지 못했다고 밝혔습니다.

 

시스코 Talos는 “해당 공격에서 랜섬웨어가 배포된 흔적은 찾지 못했으나, 사용된 TTP는 ‘사전 랜섬웨어 활동’과 일치했으며, 일반적으로 피해자 환경에 랜섬웨어가 배포되는 것으로 확인되었다”고 덧붙였습니다.

 

 

출처

https://www.bleepingcomputer.com/news/security/cisco-hacked-by-yanluowang-ransomware-gang-28gb-allegedly-stolen/

https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html

 

보안관제센터 MIR Team