在過(guò)去的幾個(gè)月里，Lapsus$針對(duì)三星、英偉達(dá)、沃達(dá)豐、育碧和美客多等許多大公司發(fā)起了網(wǎng)絡(luò)攻擊。近日，Lapsus$又通過(guò)其Telegram發(fā)布截圖，聲稱(chēng)入侵了微軟的Azure DevOps服務(wù)器，獲取了包含Bing、Cortana和其他各種內(nèi)部項(xiàng)目的源代碼，此外，還入侵了身份識(shí)別與訪問(wèn)管理(IAM)解決方案的領(lǐng)先提供商O(píng)kta，獲取了訪問(wèn)Okta的管理控制臺(tái)和客戶(hù)數(shù)據(jù)的權(quán)限。

編輯搜圖

微軟方面

目前，微軟已經(jīng)確認(rèn)他們的一名員工受到了Lapsus$黑客組織的入侵，使得威脅參與者可以訪問(wèn)和竊取他們的部分源代碼。

微軟將Lapsus$數(shù)據(jù)勒索組織追蹤為“DEV-0537”，并表示他們主要專(zhuān)注于獲取受損憑據(jù)以初始訪問(wèn)公司網(wǎng)絡(luò)。這些憑據(jù)是使用以下方法獲得的：

• 部署惡意的Redline密碼竊取器以獲取密碼和會(huì)話令牌

• 在地下犯罪論壇上購(gòu)買(mǎi)憑證和會(huì)話令牌

• 向目標(biāo)組織(或供應(yīng)商/商業(yè)伙伴)的員工付款，以獲得憑證和多因素身份認(rèn)證(MFA)的批準(zhǔn)

• 在公共代碼存儲(chǔ)庫(kù)中搜索公開(kāi)的憑據(jù)

Redline密碼竊取程序已成為竊取憑據(jù)的首選惡意軟件，通常通過(guò)網(wǎng)絡(luò)釣魚(yú)電子郵件、水坑、warez網(wǎng)站和YouTube視頻進(jìn)行分發(fā)。一旦Laspsus$獲得了被盜憑據(jù)的訪問(wèn)權(quán)限，他們就會(huì)使用它來(lái)登錄公司面向公眾的設(shè)備和系統(tǒng)，包括VPN、虛擬桌面基礎(chǔ)設(shè)施或身份管理服務(wù)。

微軟表示，他們對(duì)使用MFA的帳戶(hù)使用會(huì)話重放攻擊，或持續(xù)觸發(fā)MFA通知，直到用戶(hù)厭倦并確認(rèn)應(yīng)允許用戶(hù)登錄。至少在一次攻擊中，Lapsus$執(zhí)行了SIM交換攻擊，以控制用戶(hù)的電話號(hào)碼和SMS文本，從而獲得登錄帳戶(hù)所需的MFA代碼。

一旦他們獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，威脅參與者就會(huì)使用 AD Explorer 來(lái)查找具有更高權(quán)限的帳戶(hù)，然后瞄準(zhǔn)開(kāi)發(fā)和協(xié)作平臺(tái)，例如SharePoint、Confluence、JIRA、Slack 和 microsoft Teams，盜取其他憑據(jù)。

正如在對(duì)微軟的攻擊中看到的那樣，黑客組織還使用這些憑據(jù)來(lái)訪問(wèn)GitLab、GitHub和 Azure DevOps上的源代碼存儲(chǔ)庫(kù)。

微軟在他們的報(bào)告中解釋道“眾所周知，DEV-0537還利用Confluence、JIRA和GitLab中的漏洞來(lái)提升權(quán)限，該組織破壞了運(yùn)行這些應(yīng)用程序的服務(wù)器以獲取特權(quán)帳戶(hù)的憑據(jù)或在所述帳戶(hù)中運(yùn)行并進(jìn)行轉(zhuǎn)儲(chǔ)憑據(jù)。”

威脅參與者將收集有價(jià)值的數(shù)據(jù)并通過(guò)NordVPN連接將其泄露以隱藏其位置，同時(shí)對(duì)受害者的基礎(chǔ)設(shè)施進(jìn)行破壞性攻擊以觸發(fā)事件響應(yīng)程序。 然后，威脅參與者通過(guò)受害者的Slack或Microsoft Teams渠道監(jiān)控這些程序。

Microsoft建議企業(yè)實(shí)體執(zhí)行以下步驟來(lái)防范Lapsus$等威脅參與者：

• 加強(qiáng)MFA實(shí)施

• 需要健康和可信的端點(diǎn)

• 利用 VPN 的現(xiàn)代身份驗(yàn)證選項(xiàng)

• 加強(qiáng)和監(jiān)控您的云安全狀況

• 提高對(duì)社會(huì)工程攻擊的認(rèn)識(shí)

• 建立操作安全流程以響應(yīng) DEV-0537入侵

Okta方面

Okta聯(lián)合創(chuàng)始人兼首席執(zhí)行官Todd McKinnon于3月22日證實(shí)了Lapsus$的入侵：“2022 年1月下旬，Okta檢測(cè)到有人企圖破壞為我們的一個(gè)子處理器工作的第三方客戶(hù)支持工程師的帳戶(hù)。此事已展開(kāi)調(diào)查并加以控制。我們相信網(wǎng)上分享的截圖與今年1月的活動(dòng)有關(guān)，根據(jù)我們迄今為止的調(diào)查，除了那次之外，沒(méi)有證據(jù)表明他們正在進(jìn)行惡意活動(dòng)。”

但是，其中發(fā)布的一張截圖表明，Lapsus$可以使用Okta的管理面板更改客戶(hù)密碼。安全研究人員擔(dān)心黑客組織可能使用這種“超級(jí)用戶(hù)”訪問(wèn)權(quán)限來(lái)破壞使用公司身份驗(yàn)證解決方案的客戶(hù)服務(wù)器。

Lapsus$也在Telegram上的一篇帖子中說(shuō)：“在人們開(kāi)始詢(xún)問(wèn)之前，我們沒(méi)有從Okta訪問(wèn)或竊取任何數(shù)據(jù)庫(kù)，我們只關(guān)注他們的客戶(hù)?！?

此外，調(diào)查顯示，攻擊者可以利用筆記本電腦五天，在此期間，他們能夠訪問(wèn)Okta的客戶(hù)支持面板和公司的Slack服務(wù)器。

Okta在關(guān)于該事件的最新聲明中說(shuō)：“在2022年1月16日至21日之間有一個(gè)為期五天的時(shí)間窗口，攻擊者可以訪問(wèn)支持工程師的筆記本電腦，這與我們昨天了解到的屏幕截圖一致。”

Lapsus$發(fā)布的屏幕截圖顯示了Okta員工的電子郵件地址，該員工似乎擁有“超級(jí)用戶(hù)”權(quán)限，允許他們列出用戶(hù)、重置密碼、重置MFA等。

但是，Okta解釋說(shuō)，如果成功，這種妥協(xié)將僅限于支持工程師擁有的訪問(wèn)權(quán)限，從而防止創(chuàng)建或刪除用戶(hù)，或下載客戶(hù)數(shù)據(jù)庫(kù)。

“支持工程師確實(shí)可以訪問(wèn)屏幕截圖中顯示的有限數(shù)據(jù)，例如Jira票證和用戶(hù)列表。支持工程師還可以幫助用戶(hù)重置密碼和多因素身份驗(yàn)證MFA因素，但無(wú)法獲取這些密碼”

Okta在周二晚間的更新中表示，目前約有2.5%的客戶(hù)受到 Lapsus$ 網(wǎng)絡(luò)攻擊的影響，“我們已經(jīng)確定了這些客戶(hù)并直接與他們聯(lián)系?！?

在Lapsus$的屏幕截圖中，還有一個(gè)Cloudflare員工的電子郵件地址，其密碼被黑客重置，從而入侵了Okta員工的帳戶(hù)。

美國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全公司Cloudflare透露，其安全事件響應(yīng)團(tuán)隊(duì)(SIRT)在凌晨收到第一個(gè)潛在問(wèn)題通知后，Lapsus$屏幕截圖中的公司電子郵件帳戶(hù)被暫停了大約90分鐘。

Cloudflare指出，Okta服務(wù)在內(nèi)部用于集成在身份驗(yàn)證堆棧中的員工身份，其客戶(hù)無(wú)需擔(dān)心，“除非他們自己使用 Okta?！?

為了消除任何未經(jīng)授權(quán)訪問(wèn)其員工帳戶(hù)的機(jī)會(huì)，Cloudflare檢查了自2021年12月1日以來(lái)的所有密碼重置或修改的MFA，總共有144個(gè)帳戶(hù)符合要求，公司強(qiáng)制對(duì)所有帳戶(hù)進(jìn)行密碼重置。

目前，該公司在停職了受感染用戶(hù)的活動(dòng)會(huì)話并暫停其帳戶(hù)的同時(shí)將該問(wèn)題通知了提供商。