L’attaquant a mené une série d’attaques de phishing vocal sophistiquées sous le couvert de diverses organisations de confiance tentant de convaincre la victime d’accepter les notifications push d’authentification multifacteur (MFA) initiées par l’attaquant, a révélé la propre branche de recherche sur les menaces Cisco Talos de la société dans un article de blog.
L’incident s’est produit en mai et, depuis lors, l’entreprise s’efforce de remédier à l’attaque.
« Au cours de l’enquête, il a été déterminé que les informations d’identification d’un employé de Cisco ont été compromises après qu’un attaquant a pris le contrôle d’un compte Google personnel où les informations d’identification enregistrées dans le navigateur de la victime étaient synchronisées », a écrit Cisco Talos.
La société a déclaré qu’elle n’avait pas identifié de preuves suggérant que l’attaquant avait eu accès à des systèmes internes critiques, tels que le développement de produits, la signature de code, etc.
« L’acteur de la menace a été retiré avec succès de l’environnement et a fait preuve de persévérance, tentant à plusieurs reprises de retrouver l’accès dans les semaines qui ont suivi l’attaque ; cependant, ces tentatives ont échoué », a déclaré Cisco.
Découvrez les histoires qui vous intéressent
Selon la société, l’attaque a été menée par un adversaire précédemment identifié comme un courtier d’accès initial (IAB) ayant des liens avec le gang de cybercriminalité UNC2447, le groupe d’acteurs de la menace Lapsus$ et Yanluowang rançongiciel Opérateurs.
Lapsus$ est un groupe d’acteurs de la menace qui aurait été responsable de plusieurs violations notables antérieures des environnements d’entreprise.
Cisco a déclaré avoir mis en place une réinitialisation du mot de passe à l’échelle de l’entreprise immédiatement après avoir appris l’incident.
La société n’a pas observé le déploiement de ransomware dans cette attaque.
Dans de nombreux cas, des acteurs de la menace ont été observés ciblant l’infrastructure de sauvegarde pour supprimer davantage la capacité d’une organisation à récupérer après une attaque.
« S’assurer que les sauvegardes sont hors ligne et testées périodiquement peut aider à atténuer ce risque et à garantir la capacité d’une organisation à récupérer efficacement après une attaque », a déclaré la société.