Cisco Talos หน่วยความปลอดภัยของ Cisco ยืนยันการโจมตีว่าระบบของ Cisco เองถูกเจาะในวันที่ 24 พฤษภาคม 2022

การสอบสวนพบว่าล็อกอินของพนักงานรายหนึ่งถูกขโมย จากการที่บัญชีกูเกิลส่วนตัวถูกเจาะได้ (ล็อกอิน Cisco เซฟเก็บไว้ในเบราว์เซอร์เลยโดนเอาไปด้วย) จากนั้นแฮ็กเกอร์พยายามทำ voice phishing (ปลอมตัวโทรไปหลอก บ้างก็เรียก vishing) เพื่อหลอกให้พนักงานรายนี้กดลิงก์ยืนยัน MFA (multi-factor authentication) ปลอมที่ถูกส่งจากแฮ็กเกอร์ ทำให้แฮ็กเกอร์สามารถเข้าถึง VPN ของผู้ใช้คนนี้ได้

หลังเข้า VPN ได้แล้ว แฮ็กเกอร์พยายามเข้าถึงสิทธิแอดมินที่เข้าระบบได้หลากหลายขึ้น ทำให้ทีมความปลอดภัยของ Cisco ตรวจพบความผิดปกติและเข้ามาสืบสวนจนพบการเจาะระบบครั้งนี้

Cisco ระบุว่าไม่พบหลักฐานว่าแฮ็กเกอร์เข้าถึงระบบสำคัญของบริษัท และหลังจาก Cisco ค้นพบการเจาะระบบครั้งนี้ก็ถอดสิทธิออก แฮ็กเกอร์ยังพยายามเจาะเข้ามาใหม่หลายครั้งแต่ไม่สำเร็จแล้ว

Cisco ประเมินว่าแฮ็กเกอร์รายนี้มีความเชื่อมโยงกับกลุ่มแฮ็กเกอร์หลายกลุ่ม เช่น UNC2447, Lapsus$, Yanluowang ที่เป็นแก๊งทำ ransomware เรียกค่าไถ่

ที่มา – Cisco Talos