国产精品chinese,色综合天天综合精品网国产在线,成午夜免费视频在线观看,清纯女学生被强行糟蹋小说

    <td id="ojr13"><tr id="ojr13"><label id="ojr13"></label></tr></td>
        • <source id="ojr13"></source>
            <td id="ojr13"><ins id="ojr13"><label id="ojr13"></label></ins></td>

            Article / 文章中心

            世界多家大型企業(yè)遭受網(wǎng)絡(luò)攻擊,幕后黑手都是它!

            發(fā)布時(shí)間:2022-03-24 點(diǎn)擊數(shù):625
            近日,Lapsus$聲稱(chēng)入侵了微軟的Azure DevOps服務(wù)器,還入侵了身份識(shí)別與訪問(wèn)管理(IAM)解決方案的領(lǐng)先提供商O(píng)kta,獲取了訪問(wèn)Okta的管理控制臺(tái)和客戶(hù)數(shù)據(jù)的權(quán)限。

            在過(guò)去的幾個(gè)月里,Lapsus$針對(duì)三星、英偉達(dá)、沃達(dá)豐、育碧和美客多等許多大公司發(fā)起了網(wǎng)絡(luò)攻擊。近日,Lapsus$又通過(guò)其Telegram發(fā)布截圖,聲稱(chēng)入侵了微軟的Azure DevOps服務(wù)器,獲取了包含Bing、Cortana和其他各種內(nèi)部項(xiàng)目的源代碼,此外,還入侵了身份識(shí)別與訪問(wèn)管理(IAM)解決方案的領(lǐng)先提供商O(píng)kta,獲取了訪問(wèn)Okta的管理控制臺(tái)和客戶(hù)數(shù)據(jù)的權(quán)限。

            編輯搜圖

            微軟方面

            目前,微軟已經(jīng)確認(rèn)他們的一名員工受到了Lapsus$黑客組織的入侵,使得威脅參與者可以訪問(wèn)和竊取他們的部分源代碼。

            微軟將Lapsus$數(shù)據(jù)勒索組織追蹤為“DEV-0537”,并表示他們主要專(zhuān)注于獲取受損憑據(jù)以初始訪問(wèn)公司網(wǎng)絡(luò)。這些憑據(jù)是使用以下方法獲得的:

            • 部署惡意的Redline密碼竊取器以獲取密碼和會(huì)話令牌

            • 在地下犯罪論壇上購(gòu)買(mǎi)憑證和會(huì)話令牌

            • 向目標(biāo)組織(或供應(yīng)商/商業(yè)伙伴)的員工付款,以獲得憑證和多因素身份認(rèn)證(MFA)的批準(zhǔn)

            • 在公共代碼存儲(chǔ)庫(kù)中搜索公開(kāi)的憑據(jù)

            Redline密碼竊取程序已成為竊取憑據(jù)的首選惡意軟件,通常通過(guò)網(wǎng)絡(luò)釣魚(yú)電子郵件、水坑、warez網(wǎng)站和YouTube視頻進(jìn)行分發(fā)。一旦Laspsus$獲得了被盜憑據(jù)的訪問(wèn)權(quán)限,他們就會(huì)使用它來(lái)登錄公司面向公眾的設(shè)備和系統(tǒng),包括VPN、虛擬桌面基礎(chǔ)設(shè)施或身份管理服務(wù)。

            微軟表示,他們對(duì)使用MFA的帳戶(hù)使用會(huì)話重放攻擊,或持續(xù)觸發(fā)MFA通知,直到用戶(hù)厭倦并確認(rèn)應(yīng)允許用戶(hù)登錄。至少在一次攻擊中,Lapsus$執(zhí)行了SIM交換攻擊,以控制用戶(hù)的電話號(hào)碼和SMS文本,從而獲得登錄帳戶(hù)所需的MFA代碼。

            一旦他們獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限,威脅參與者就會(huì)使用 AD Explorer 來(lái)查找具有更高權(quán)限的帳戶(hù),然后瞄準(zhǔn)開(kāi)發(fā)和協(xié)作平臺(tái),例如SharePoint、Confluence、JIRA、Slack 和 microsoft Teams,盜取其他憑據(jù)。

            正如在對(duì)微軟的攻擊中看到的那樣,黑客組織還使用這些憑據(jù)來(lái)訪問(wèn)GitLab、GitHub和 Azure DevOps上的源代碼存儲(chǔ)庫(kù)。

            微軟在他們的報(bào)告中解釋道“眾所周知,DEV-0537還利用Confluence、JIRA和GitLab中的漏洞來(lái)提升權(quán)限,該組織破壞了運(yùn)行這些應(yīng)用程序的服務(wù)器以獲取特權(quán)帳戶(hù)的憑據(jù)或在所述帳戶(hù)中運(yùn)行并進(jìn)行轉(zhuǎn)儲(chǔ)憑據(jù)。”

            威脅參與者將收集有價(jià)值的數(shù)據(jù)并通過(guò)NordVPN連接將其泄露以隱藏其位置,同時(shí)對(duì)受害者的基礎(chǔ)設(shè)施進(jìn)行破壞性攻擊以觸發(fā)事件響應(yīng)程序。 然后,威脅參與者通過(guò)受害者的Slack或Microsoft Teams渠道監(jiān)控這些程序。

            Microsoft建議企業(yè)實(shí)體執(zhí)行以下步驟來(lái)防范Lapsus$等威脅參與者:

            • 加強(qiáng)MFA實(shí)施

            • 需要健康和可信的端點(diǎn)

            • 利用 VPN 的現(xiàn)代身份驗(yàn)證選項(xiàng)

            • 加強(qiáng)和監(jiān)控您的云安全狀況

            • 提高對(duì)社會(huì)工程攻擊的認(rèn)識(shí)

            • 建立操作安全流程以響應(yīng) DEV-0537入侵

            Okta方面

            Okta聯(lián)合創(chuàng)始人兼首席執(zhí)行官Todd McKinnon于3月22日證實(shí)了Lapsus$的入侵:“2022 年1月下旬,Okta檢測(cè)到有人企圖破壞為我們的一個(gè)子處理器工作的第三方客戶(hù)支持工程師的帳戶(hù)。此事已展開(kāi)調(diào)查并加以控制。我們相信網(wǎng)上分享的截圖與今年1月的活動(dòng)有關(guān),根據(jù)我們迄今為止的調(diào)查,除了那次之外,沒(méi)有證據(jù)表明他們正在進(jìn)行惡意活動(dòng)。”

            但是,其中發(fā)布的一張截圖表明,Lapsus$可以使用Okta的管理面板更改客戶(hù)密碼。安全研究人員擔(dān)心黑客組織可能使用這種“超級(jí)用戶(hù)”訪問(wèn)權(quán)限來(lái)破壞使用公司身份驗(yàn)證解決方案的客戶(hù)服務(wù)器。

            Lapsus$也在Telegram上的一篇帖子中說(shuō):“在人們開(kāi)始詢(xún)問(wèn)之前,我們沒(méi)有從Okta訪問(wèn)或竊取任何數(shù)據(jù)庫(kù),我們只關(guān)注他們的客戶(hù)?!?

            此外,調(diào)查顯示,攻擊者可以利用筆記本電腦五天,在此期間,他們能夠訪問(wèn)Okta的客戶(hù)支持面板和公司的Slack服務(wù)器。

            Okta在關(guān)于該事件的最新聲明中說(shuō):“在2022年1月16日至21日之間有一個(gè)為期五天的時(shí)間窗口,攻擊者可以訪問(wèn)支持工程師的筆記本電腦,這與我們昨天了解到的屏幕截圖一致。”

            Lapsus$發(fā)布的屏幕截圖顯示了Okta員工的電子郵件地址,該員工似乎擁有“超級(jí)用戶(hù)”權(quán)限,允許他們列出用戶(hù)、重置密碼、重置MFA等。

            但是,Okta解釋說(shuō),如果成功,這種妥協(xié)將僅限于支持工程師擁有的訪問(wèn)權(quán)限,從而防止創(chuàng)建或刪除用戶(hù),或下載客戶(hù)數(shù)據(jù)庫(kù)。

            “支持工程師確實(shí)可以訪問(wèn)屏幕截圖中顯示的有限數(shù)據(jù),例如Jira票證和用戶(hù)列表。支持工程師還可以幫助用戶(hù)重置密碼和多因素身份驗(yàn)證MFA因素,但無(wú)法獲取這些密碼”

            Okta在周二晚間的更新中表示,目前約有2.5%的客戶(hù)受到 Lapsus$ 網(wǎng)絡(luò)攻擊的影響,“我們已經(jīng)確定了這些客戶(hù)并直接與他們聯(lián)系?!?

            在Lapsus$的屏幕截圖中,還有一個(gè)Cloudflare員工的電子郵件地址,其密碼被黑客重置,從而入侵了Okta員工的帳戶(hù)。

            美國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全公司Cloudflare透露,其安全事件響應(yīng)團(tuán)隊(duì)(SIRT)在凌晨收到第一個(gè)潛在問(wèn)題通知后,Lapsus$屏幕截圖中的公司電子郵件帳戶(hù)被暫停了大約90分鐘。

            Cloudflare指出,Okta服務(wù)在內(nèi)部用于集成在身份驗(yàn)證堆棧中的員工身份,其客戶(hù)無(wú)需擔(dān)心,“除非他們自己使用 Okta?!?

            為了消除任何未經(jīng)授權(quán)訪問(wèn)其員工帳戶(hù)的機(jī)會(huì),Cloudflare檢查了自2021年12月1日以來(lái)的所有密碼重置或修改的MFA,總共有144個(gè)帳戶(hù)符合要求,公司強(qiáng)制對(duì)所有帳戶(hù)進(jìn)行密碼重置。

            目前,該公司在停職了受感染用戶(hù)的活動(dòng)會(huì)話并暫停其帳戶(hù)的同時(shí)將該問(wèn)題通知了提供商。