미국의 다국적 기업 시스코 시스템즈(시스코)에서 해킹이 발생해 받아 내부 데이터가 유출됐다.
시스코에 따르면, 해킹은 Yanluowang 랜섬웨어 조직에 의해 5월 말 발생했으며 해커는 브라우저에 저장된 자격 증명 동기화를 통해 구글 계정에 접속한 후 시스코 직원의 계정을 탈취한 것으로 알려졌다.
계정에 접속한 해커는 MFA 푸시 알림을 수락하도록 속이기 위해 보이스 피싱을 활용했다. 이후 MFA 푸시 수락을 통해 사용자의 컨텍스트에서 VPN에 접근했다.
시스코 탈로스 보안 연구팀은 “시스코 직원의 개인 구글 계정이 손상돼 시스코 VPN에 대한 초기 접근이 이뤄졌다. 해커는 구글 크롬을 통해 비밀번호 동기화를 활성화하고 브라우저에 시스코 자격 증명을 저장해 해당 정보를 구글 계정과 동기화했다. 사용자의 자격 증명을 획득한 후 해커는 보이스 피싱을 통해 다중 요소 인증(MFA) 우회를 시도했다. MFA 푸시 수락을 얻어낸 후 해커는 사용자의 컨텍스트에서 VPN에 대한 접근 권한을 얻어냈다”라고 말했다.
연구팀에 따르면, 해커는 초기 접근 권한을 얻은 후 MFA용으로 일련의 새 장치를 등록하고 시스코 VPN에 성공적으로 접속했다. 그런 다음 여러 시스템에 로그인하기 위해 관리자 권한을 얻었고, 이를 통해 LogMeIn, TeamViewer, Cobalt Strike, PowerSploit, Mimikatz 및 Imppacket과 같은 원격 접근 도구를 대상 네트워크에 적용했다.
연구팀에 따르면, 해커가 훔친 데이터는 중요한 데이터가 아니며 공격 중에 랜섬웨어는 배포되지 않았다. 다만 사용된 TTP는 희생자 환경에 랜섬웨어 배포로 이어지는 랜섬웨어 사전 활동과 비슷했다. 관찰된 많은 TTP는 이전 계약에서 CTIR이 관찰한 활동과 일치했다.
한편, Yanluowang 랜섬웨어 조직은 시스코가 몸값을 지불하지 않으면 모든 데이터를 유출하겠다고 위협하며 해킹 데이터 목록을 게시했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
