在過去的幾個(gè)月里，Lapsus$針對(duì)三星、英偉達(dá)、沃達(dá)豐、育碧和美客多等許多大公司發(fā)起了網(wǎng)絡(luò)攻擊。近日，Lapsus$又通過其Telegram發(fā)布截圖，聲稱入侵了微軟的Azure DevOps服務(wù)器，獲取了包含Bing、Cortana和其他各種內(nèi)部項(xiàng)目的源代碼，此外，還入侵了身份識(shí)別與訪問管理(IAM)解決方案的領(lǐng)先提供商Okta，獲取了訪問Okta的管理控制臺(tái)和客戶數(shù)據(jù)的權(quán)限。

編輯搜圖

微軟方面

目前，微軟已經(jīng)確認(rèn)他們的一名員工受到了Lapsus$黑客組織的入侵，使得威脅參與者可以訪問和竊取他們的部分源代碼。

微軟將Lapsus$數(shù)據(jù)勒索組織追蹤為“DEV-0537”，并表示他們主要專注于獲取受損憑據(jù)以初始訪問公司網(wǎng)絡(luò)。這些憑據(jù)是使用以下方法獲得的：

• 部署惡意的Redline密碼竊取器以獲取密碼和會(huì)話令牌

• 在地下犯罪論壇上購(gòu)買憑證和會(huì)話令牌

• 向目標(biāo)組織(或供應(yīng)商/商業(yè)伙伴)的員工付款，以獲得憑證和多因素身份認(rèn)證(MFA)的批準(zhǔn)

• 在公共代碼存儲(chǔ)庫(kù)中搜索公開的憑據(jù)

Redline密碼竊取程序已成為竊取憑據(jù)的首選惡意軟件，通常通過網(wǎng)絡(luò)釣魚電子郵件、水坑、warez網(wǎng)站和YouTube視頻進(jìn)行分發(fā)。一旦Laspsus$獲得了被盜憑據(jù)的訪問權(quán)限，他們就會(huì)使用它來登錄公司面向公眾的設(shè)備和系統(tǒng)，包括VPN、虛擬桌面基礎(chǔ)設(shè)施或身份管理服務(wù)。

微軟表示，他們對(duì)使用MFA的帳戶使用會(huì)話重放攻擊，或持續(xù)觸發(fā)MFA通知，直到用戶厭倦并確認(rèn)應(yīng)允許用戶登錄。至少在一次攻擊中，Lapsus$執(zhí)行了SIM交換攻擊，以控制用戶的電話號(hào)碼和SMS文本，從而獲得登錄帳戶所需的MFA代碼。

一旦他們獲得對(duì)網(wǎng)絡(luò)的訪問權(quán)限，威脅參與者就會(huì)使用 AD Explorer 來查找具有更高權(quán)限的帳戶，然后瞄準(zhǔn)開發(fā)和協(xié)作平臺(tái)，例如SharePoint、Confluence、JIRA、Slack 和 microsoft Teams，盜取其他憑據(jù)。

正如在對(duì)微軟的攻擊中看到的那樣，黑客組織還使用這些憑據(jù)來訪問GitLab、GitHub和 Azure DevOps上的源代碼存儲(chǔ)庫(kù)。

微軟在他們的報(bào)告中解釋道“眾所周知，DEV-0537還利用Confluence、JIRA和GitLab中的漏洞來提升權(quán)限，該組織破壞了運(yùn)行這些應(yīng)用程序的服務(wù)器以獲取特權(quán)帳戶的憑據(jù)或在所述帳戶中運(yùn)行并進(jìn)行轉(zhuǎn)儲(chǔ)憑據(jù)?！?

威脅參與者將收集有價(jià)值的數(shù)據(jù)并通過NordVPN連接將其泄露以隱藏其位置，同時(shí)對(duì)受害者的基礎(chǔ)設(shè)施進(jìn)行破壞性攻擊以觸發(fā)事件響應(yīng)程序。 然后，威脅參與者通過受害者的Slack或Microsoft Teams渠道監(jiān)控這些程序。

Microsoft建議企業(yè)實(shí)體執(zhí)行以下步驟來防范Lapsus$等威脅參與者：

• 加強(qiáng)MFA實(shí)施

• 需要健康和可信的端點(diǎn)

• 利用 VPN 的現(xiàn)代身份驗(yàn)證選項(xiàng)

• 加強(qiáng)和監(jiān)控您的云安全狀況

• 提高對(duì)社會(huì)工程攻擊的認(rèn)識(shí)

• 建立操作安全流程以響應(yīng) DEV-0537入侵

Okta方面

Okta聯(lián)合創(chuàng)始人兼首席執(zhí)行官Todd McKinnon于3月22日證實(shí)了Lapsus$的入侵：“2022 年1月下旬，Okta檢測(cè)到有人企圖破壞為我們的一個(gè)子處理器工作的第三方客戶支持工程師的帳戶。此事已展開調(diào)查并加以控制。我們相信網(wǎng)上分享的截圖與今年1月的活動(dòng)有關(guān)，根據(jù)我們迄今為止的調(diào)查，除了那次之外，沒有證據(jù)表明他們正在進(jìn)行惡意活動(dòng)?！?

但是，其中發(fā)布的一張截圖表明，Lapsus$可以使用Okta的管理面板更改客戶密碼。安全研究人員擔(dān)心黑客組織可能使用這種“超級(jí)用戶”訪問權(quán)限來破壞使用公司身份驗(yàn)證解決方案的客戶服務(wù)器。

Lapsus$也在Telegram上的一篇帖子中說：“在人們開始詢問之前，我們沒有從Okta訪問或竊取任何數(shù)據(jù)庫(kù)，我們只關(guān)注他們的客戶?！?

此外，調(diào)查顯示，攻擊者可以利用筆記本電腦五天，在此期間，他們能夠訪問Okta的客戶支持面板和公司的Slack服務(wù)器。

Okta在關(guān)于該事件的最新聲明中說：“在2022年1月16日至21日之間有一個(gè)為期五天的時(shí)間窗口，攻擊者可以訪問支持工程師的筆記本電腦，這與我們昨天了解到的屏幕截圖一致?！?

Lapsus$發(fā)布的屏幕截圖顯示了Okta員工的電子郵件地址，該員工似乎擁有“超級(jí)用戶”權(quán)限，允許他們列出用戶、重置密碼、重置MFA等。

但是，Okta解釋說，如果成功，這種妥協(xié)將僅限于支持工程師擁有的訪問權(quán)限，從而防止創(chuàng)建或刪除用戶，或下載客戶數(shù)據(jù)庫(kù)。

“支持工程師確實(shí)可以訪問屏幕截圖中顯示的有限數(shù)據(jù)，例如Jira票證和用戶列表。支持工程師還可以幫助用戶重置密碼和多因素身份驗(yàn)證MFA因素，但無法獲取這些密碼”

Okta在周二晚間的更新中表示，目前約有2.5%的客戶受到 Lapsus$ 網(wǎng)絡(luò)攻擊的影響，“我們已經(jīng)確定了這些客戶并直接與他們聯(lián)系。”

在Lapsus$的屏幕截圖中，還有一個(gè)Cloudflare員工的電子郵件地址，其密碼被黑客重置，從而入侵了Okta員工的帳戶。

美國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全公司Cloudflare透露，其安全事件響應(yīng)團(tuán)隊(duì)(SIRT)在凌晨收到第一個(gè)潛在問題通知后，Lapsus$屏幕截圖中的公司電子郵件帳戶被暫停了大約90分鐘。

Cloudflare指出，Okta服務(wù)在內(nèi)部用于集成在身份驗(yàn)證堆棧中的員工身份，其客戶無需擔(dān)心，“除非他們自己使用 Okta?！?

為了消除任何未經(jīng)授權(quán)訪問其員工帳戶的機(jī)會(huì)，Cloudflare檢查了自2021年12月1日以來的所有密碼重置或修改的MFA，總共有144個(gè)帳戶符合要求，公司強(qiáng)制對(duì)所有帳戶進(jìn)行密碼重置。

目前，該公司在停職了受感染用戶的活動(dòng)會(huì)話并暫停其帳戶的同時(shí)將該問題通知了提供商。