在过去的几个月里,Lapsus$对三星、Nvidia、Vodafone、Ubisoft和Mercado等许多大公司发起了网络攻击。近日,Lapsus$通过其Telegram发布截图,声称入侵了微软的AzureDevOps服务器,获取了包括Bing、Cortana等多个内部项目的源代码,还入侵了身份和访问管理(IAM)解决方案。Okta是一家领先的解决方案提供商,可以访问Okta的管理控制台和客户数据。目前,微软已经确认他们的一名员工已经被Lapsus$黑客组织攻陷,允许威胁行为者访问并窃取他们的部分源代码。微软已将Lapsus$数据勒索组织追踪为“DEV-0537”,并表示他们主要专注于获取受损凭据以初始访问公司网络。这些凭据是使用以下方法获得的:部署恶意Redline密码窃取程序以获取密码和会话令牌在地下犯罪论坛上购买凭据和会话令牌支付目标组织(或供应商/业务合作伙伴)的员工以获取凭据和多因素身份验证(MFA)批准在公共代码存储库中搜索公开可用的凭据Redline密码窃取程序已成为窃取凭据的首选恶意软件,通常通过网络钓鱼电子邮件、水坑、warez网站和YouTube视频进行分发。一旦Laspsus$获得了被盗凭据的访问权限,他们便使用它来登录公司面向公众的设备和系统,包括VPN、虚拟桌面基础设施或身份管理服务。微软表示,他们对使用MFA的账户使用会话重放攻击,或者不断触发MFA通知,直到用户厌倦并确认应该允许用户登录。在至少一次攻击中,Lapsus$执行SIM卡交换攻击以获得控制用户的电话号码和SMS文本以获得登录帐户所需的MFA代码。一旦他们获得对网络的访问权限,威胁行为者就会使用ADExplorer查找具有更高权限的帐户,然后以SharePoint、Confluence、JIRA、Slack和MicrosoftTeams等开发和协作平台为目标来窃取额外的凭据。从对Microsoft的攻击中可以看出,黑客组织还使用这些凭据访问GitLab、GitHub和AzureDevOps上的源代码存储库。微软在他们的报告中解释说,“DEV-0537还已知利用Confluence、JIRA和GitLab中的漏洞来提升权限,该组织会破坏运行这些应用程序的服务器以获取特权帐户的凭据或在所述帐户中运行和转储凭据”威胁行为者将收集有价值的数据并通过NordVPN连接将其泄露以隐藏其位置,同时对受害者的基础设施进行破坏性攻击以触发事件响应程序。然后,威胁行为者通过受害者的Slack或MicrosoftTeams渠道监控这些程序。Microsoft建议企业实体采取以下步骤来抵御像Lapsus$这样的威胁行为者:强化MFA实施需要健康且受信任的端点利用VPN的现代身份验证选项强化和监控您的云安全状况提高对社会工程攻击的认识在中构建操作安全流程对DEV-0537Okta漏洞的回应Okta联合创始人兼首席执行官ToddMcKinnon于3月22日证实了Lapsus$漏洞:“2022年1月下旬,Okta检测到我们的一家子公司遭到破坏。在处理器上工作的第三方客户支持工程师的帐户。此事已得到调查并得到控制。我们认为在线共享的屏幕截图与今年1月的活动有关,并且根据我们迄今为止的调查,除此之外没有其他证据表明他们在进行恶意活动。”但是,其中发布的屏幕截图显示Lapsus$能够使用Okta的管理面板更改客户密码。安全研究人员担心黑客组织可能会利用这种“超级用户”访问权限来破坏使用该公司身份验证解决方案的客户服务器。Lapsus$还在Telegram上的一篇帖子中表示:“在人们开始询问之前,我们没有访问或窃取Okta的任何数据库,我们只关注他们的客户。”此外,调查显示攻击者有五天的访问权限,在此期间他们能够访问Okta的客户支持面板以及该公司的Slack服务器。Okta在其关于该事件的最新声明中表示:“在2022年1月16日至21日之间有一个为期五天的窗口,攻击者在此期间获得了访问支持工程师的笔记本电脑,这与我们昨天了解到的情况一致。截图相符。”Lapsus$发布的屏幕截图显示了一名Okta员工的电子邮件地址,该员工似乎拥有“超级用户”权限,允许他们列出用户、重置密码、重置MFA等。但是,Okta解释说,如果成功,妥协将仅限于支持工程师的访问权限,防止创建或删除用户,或下载客户数据库。“支持工程师确实可以访问屏幕截图中显示的有限数据,例如Jira票证和用户列表。支持工程师还可以帮助用户重设密码和多因素身份验证MFA因素,但无法获得这些密码,”Okta的周二晚间更新Zhong表示,目前约有2.5%的客户受到Lapsus$网络攻击的影响,“我们已经确定了这些客户并直接与他们联系。”在Lapsus$的截图中,还有一个Cloudflare员工的邮箱地址,其密码被黑客重置,导致Okta员工的账户被盗。美国网络基础设施和安全公司Cloudflare透露,在其安全事件响应小组(SIRT)在凌晨首次收到潜在问题通知后,Lapsus$屏幕截图中的公司电子邮件帐户被暂停了大约90分钟。Cloudflare指出,Okta服务在内部用于集成在身份验证堆栈中的员工身份,其客户无需担心,“除非他们自己使用Okta。”为了消除任何未经授权访问其员工帐户的机会,Cloudflare检查了MFA自2019年12月1日以来所有密码重置或修改,共有144个帐户符合条件,公司对所有帐户强制执行密码重置。目前,该公司已将此问题通知提供商,同时暂停受感染用户的活动会话并暂停他们的帐户。
