经认证攻击者利用雇员在 Google 的账号进入公司网络

获取目标员工的思科VPN使用权能是实施网络入侵的要诀，并使用该VPN软件访问公司的网络。

对思科VPN的最初访问是通过入侵一名思科员工的个人谷歌账户实现的。该用户通过谷歌浏览器启用了密码同步功能，并在浏览器中存储了他们所使用的思科凭证，使这些信息能够同步到他们的谷歌账户。

他们说，攻击者随后会将权限升级到管理权限，允许他们登录多个系统，这也提醒了我们的思科安全事件响应小组（CSIRT），他们随后对该事件做出了回应。

攻击者使用的工具包括LogMeIn和TeamViewer，还有进攻性安全工具，如Cobalt Strike、PowerSploit、Mimikatz和Impacket。

他们写道，我们的一系列发现和随后由这些企业级客户提供的安全保护措施至少帮助我们成功地减缓和遏制了大多数攻击者的攻击活动的进展。

该公司随后创建了两个Clam AntiVirus签名（Win.Exploit.Kolobko-9950675-0和Win.Backdoor.Kolobko-9950676-0）作为预防措施，对任何有可能受影响的资产进行了杀毒。Clam AntiVirus Signatures（或ClamAV）是一个跨平台的反恶意软件工具包，能够检测各种恶意软件和病毒。

Cisco Talos写道，威胁者通常使用社会工程学技术来破坏目标，这种攻击很频繁，组织面临着减轻这些威胁的重大挑战。用户的安全教育对于防止此类的攻击至关重要，确保员工知道支持人员与用户联系的方式，方便员工能够识别此类获取敏感信息的欺诈行为。通过使用云计算技术，企业可以在数据中心中部署更多的虚拟机，从而减少对物理服务器的依赖。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!