セキュリティベンダーのeSentireは8月30日(カナダ時間)、「eSentire|Hacker Infrastructure Used in Cisco Breach Discovered…」において、シスコシステムズへの不正アクセスに用いられたハッカーインフラが、人材管理企業の攻撃にも使われていたと伝えた。
5月にシスコを狙ったサイバー攻撃と同じ手口が、その1カ月前の4月にeSentireの顧客である人材管理ソリューションベンダーに対しても用いられていたことが明らかとなった。人材管理ベンダーへのサイバー犯罪は未遂に終わっているが、eSentireのセキュリティ調査チームであるThreat Response Unit(TRU)は、「UNC2165」と呼ばれるEvil Corpの系列クラスタの一員とされる「mx1r」と呼ばれる脅威アクターによる犯行とみている(参考「シスコがサイバー攻撃受け不正侵入、きっかけは従業員の個人Googleアカウント悪用 | TECH+(テックプラス)」)。
Evil Corpはアンダーグラウンドで最も悪名高いロシアのハッキング集団とされている。銀行マルウェア「Dridex」を開発したとされており、数百の銀行や金融機関から1億ドル以上を盗んだとして2019年に米国財務省外国資産管理局(OFAC: Office of Foreign Assets Control)から制裁を受けている。
eSentireの顧客への攻撃には、盗まれた仮想プライベートネットワーク(VPN: Virtual Private Network)の認証情報が使われたという。サイバー犯罪者はネットワークに侵入した後、Cobalt Strike、ネットワークスキャナ、Active Domainクローラなどのツールを使って横方向に移動しようとしたところ、捕捉されたとのことだ。
Threat Response Unitは、侵入者がリモートデスクトッププロトコル(RDP: Remote Desktop Protocol)を使ってネットワーク内を横移動しようとしたことを突き止めており、この行動がUNC2165が用いる戦術と同じだと指摘している。また、Kerberoasting攻撃を仕掛けようとしていたことも確認されている。Kerberoasting攻撃は、サイバー犯罪者がKerberos認証プロトコルを介してWindows Active Directory内のパスワードのクラックを試みる攻撃で、この手口もUNC2165が用いる戦術と一致するとしている。
今回のサイバー攻撃はEvil Corpのものと一致するが、使用されたインフラはContiランサムウェアのアフィリエイトのものとも一致するとされている。最初のアクセスはEvil Corpの関連クラスタが仲介し、最終的にContiに関連するHiveのオペレータとその関連クラスタに売り渡された可能性があると推察されている。