据BleepingComputer报道,微软已经确认他们的一名员工已经被Lapsus$黑客组织攻陷,允许黑客访问并窃取他们的部分源代码。3月21日晚,Lapsus$披露了从MicrosoftAzureDevOps服务器窃取的37GB源代码,用于各种内部Microsoft项目,包括Bing、Cortana和BingMaps。在3月22日微软官方网站更新的一篇博文中,证实其一名员工的账户被Lapsus$入侵,并获得了对源代码存储库的有限访问权限。泄露的源代码项目微软表示,当攻击者公开披露他们的入侵行为时,其团队已经根据威胁情报调查了被入侵的账户,并能够在攻击者的操作过程中进行干预和中断,从而限制更广泛的影响。虽然微软没有透露帐户是如何被入侵的,但他们提供了他们观察到的Lapsus组织在多次攻击中使用的技术和程序(TTP)。凭据盗窃Microsoft已将Lapsus$数据勒索组追踪为“DEV-0537”,并表示他们主要专注于以多种方式获取凭据以获得对公司网络的初始访问权限,包括:部署恶意Redline密码窃取程序以窃取;在地下论坛购买凭证;向目标组织的员工(或供应商/业务合作伙伴)提供报价;在公共代码存储库中搜索公开的凭据。Redline已成为窃取凭据的首选恶意软件,并通过网络钓鱼电子邮件、warez网站和YouTube视频等渠道进行分发。一旦Laspsus$窃取了凭据访问权限,它就可以用于登录公司面向公众的设备和系统,包括VPN、虚拟桌面基础设施或身份管理服务。一些客户受到网络攻击的影响。对于使用多因素身份验证(MFA)的用户,微软表示Lapsus$通过使用会话重放攻击,或通过不断触发MFA通知,让他们登录而惹恼了一些用户。在至少一次攻击中,Lapsus$执行了SIM卡交换攻击控制用户的电话号码和SMS文本以获得登录帐户所需的MFA代码。在获得网络访问权限后,Laspsus$使用ADExplorer查找具有更高权限的帐户,然后将目标锁定在SharePoint、Confluence、JIRA、Slack和MicrosoftTeams等开发和协作平台上。微软还注意到Laspsus$的其他一些举措,例如使用窃取的凭据访问GitLab、GitHub和AzureDevOps上的源代码存储库,以及利用Confluence、JIRA和GitLab中的漏洞提升权限。收集有价值的数据后,通过NordVPN将其传输到隐藏服务器。同时,他们对受害者的基础设施进行破坏性攻击以触发事件响应程序,这些程序通过受害者的Slack或MicrosoftTeams渠道进行监控。防范Lapsus$微软建议企业实体实施以下方法来防止Lapsus$等黑客的攻击:进一步加强MFA的使用;建立健康可靠的端点;充分利用VPN身份验证选项;加强和监控云安全态势;对社会工程攻击的认识;建立操作安全流程以应对入侵。近期,Lapsus$对多家巨头公司发起攻击,包括英伟达、三星、育碧等。参考来源:https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-勒索勒索集团/
