Cisco 在周日确认,之前泄露至暗网的数据文件的实际内容被黑客再次发布至同一地点。根据博文,Cisco 表示其对事件的分析未发生改变,且公司未看到对其商业运营的任何影响。这包括公司的产品、服务,敏感客户数据或员工信息,以及知识产权和供应链运营。
快连机场该攻击最早于 5 月 24 日被发现,最初被识别为与 UNC2447 黑客组织、Lapsus 及 Yanluowang 勒索软件操作者有关的初始访问代理。在随后的调查中,Cisco 发现一名 Cisco 员工的凭据被攻击者控制,攻击者通过控制受害者的个人 Google 账户获取了保存于浏览器中的凭据。
网络安全专家表示,黑客在线发布部分数据可能是为了建立自己的信誉,显然并没有改变Cisco 的初步评估,即此次攻击未窃取任何敏感数据或造成广泛损害。Vulcan Cyber 的高级技术工程师 Mike Parkin 表示,虽然他们可能在淡化事态,但攻击者所揭露的数据主要是 Windows NT 目录服务数据进一步支持了 Cisco 的说法。
“更深层次的问题是 Cisco 的信息安全团队在遏制此次 breach 及实施政策以减少再次发生的可能性方面的有效性。”Parkin 说。“如果历史有任何暗示,他们会在遏制和缓解威胁方面做得很好。但这并不改变大型供应商仍然是网络犯罪团伙和国家级恶意行为者的主要目标这一事实。”
Keeper Security 的安全与架构副总裁 Patrick Tiquet 指出,虽然长期认证会话非常方便,但如果攻击者能够控制预认证的浏览器或应用程序,将会带来风险。Tiquet称,这可能导致账户被攻破,或在使用多因素认证 (MFA) 的情况下,MFA 本身受到威胁。
“组织应仔细分析每种 MFA 方法在认证中的风险,因为并非所有的 MFA 方法都是同样有效或安全的。”Tiquet 说。“很难检测到看似合法用户活动的攻击。攻击手段不断演变,所有组织都需监控网络安全形势,确保能检测和防止最新的攻击向量。”
2025-11-13 19:50:16