De inloggegevens van een Cisco-werknemer zijn gestolen nadat een aanvaller toegang wist te krijgen tot het persoonlijke Google-account van de werknemer.
Via de account kreeg de aanvaller toegang tot inloggegevens die in de webbrowser van de medewerker waren opgeslagen. De aanval lijkt het werk te zijn van de aanvalsgroep Lapsus$.
Het Amerikaanse bedrijf meldt dat de aanvaller een reeks complexe phishingaanvallen heeft uitgevoerd via spraakgesprekken, waarbij hij zich voordeed als diverse vertrouwde organisaties. Zo wist de aanvaller het vertrouwen van het slachtoffer te winnen en deze te overtuigen pushnotificaties voor multi-factor authenticatie, verzonden door de aanvaller, te accepteren.
Toegang tot VPN
Via deze weg wist de aanvaller toegang te verkrijgen tot een VPN. Eenmaal binnen voerde de aanvaller een aantal activiteiten uit om zijn toegang tot de VPN zeker te stellen, zijn sporen te minimaliseren en meer rechten te verkrijgen tot systemen binnen de omgeving.
Cisco meldt de aanvaller succesvol van het netwerk te hebben verwijderd, waarna deze meermaals probeerde opnieuw toegang te verkrijgen. Deze pogingen zijn echter niet succesvol geweest.
Cisco Security Incident Response (CSIRT) en Cisco Talos schrijven de aanval toe aan Lapsus$. Dit is een groep cyberaanvallers die eerder onder meer T-Mobile US, fabrikant van authentificatiesoftware Okta, Microsoft, Samsung en Nvidia aanviel. Cisco meldt geen bewijs te hebben dat de aanvaller toegang heeft weten te krijgen tot kritieke interne systemen van het bedrijf. Denk hierbij aan systemen gerelateerd aan productontwikkeling en het ondertekenen van code.
In samenwerking met Dutch IT-Channel.
