据Bleeping Computer微软已经证实他们的一名员工受到了 Lapsus$ 黑客组织的入侵使黑客访问并窃取了部分源代码。
3月21日晚,Lapsus$ 从微软 公开Azure DevOps 服务器被盗37GB 源代码适用于各种内部 Microsoft 项目,包括 Bing、Cortana 和 Bing 地图。在3月22日微软官方网站更新的博客中,确认员工账户被 Lapsus$ 入侵并获得了对源代码存储库的有限访问权。
泄漏源代码项目
微软表示,当攻击者公开披露他们的入侵行为时,他们的团队已经根据威胁情报调查了入侵账户,并可以在攻击者的操作过程中进行干预和中断,从而限制了更广泛的影响。虽然微软没有分享该账户是如何入侵的,但他们提供了观察到的 Lapsus 团伙在多次攻击中使用的技术和程序 (TTP) 。
窃取凭证
微软将 Lapsus$ 数据勒索组织追踪DEV-0537他们还表示,他们主要专注于通过各种方式获取证书,以获得初步的公司网络访问权,包括:
- 部署恶意 Redline 窃取密码程序;
- 在地下论坛购买凭证;
- 向目标组织(或供应商/业务伙伴)的员工开价购买;
- 在公共代码存储库中搜索公共凭证。
Redline恶意软件已成为窃取凭证的首选,并通过网络钓鱼电子邮件,warez 网站和 YouTube 通过视频等渠道传播。Laspsus$ 通过窃取凭证访问权限,登录公司的设备和系统,包括 VPN、例如,在今年1月,虚拟桌面基础设施或身份管理服务Okta对工程师计算机的入侵,进而使 300多名客户受到网络攻击的影响 。
多因素身份验证 (MFA)微软表示,用户Laspsus$使用会话重放攻击,或继续触发 MFA 通知,让一些用户感到无聊,所以只是允许他们登录。至少在一次攻击中,Lapsus$ 会执行 SIM 交换攻击以控制用户的电话号码和 SMS 文本获得登录帐户所需的 MFA 代码。
一旦获得网络访问权限,Laspsus$就会使用 AD Explorer 找到更高权限的账户,然后瞄准开发和合作平台,如 SharePoint、Confluence、JIRA、Slack 和 Microsoft Teams。
微软也注意到了一些Laspsus$其他趋势,如使用盗窃凭证访问 GitLab、GitHub 和 Azure DevOps 上的源代码存储库,并使用 Confluence、JIRA 和 GitLab 中的漏洞提高了权限。收集有价值的数据后,通过 NordVPN将数据传输到隐藏的服务器。同时,他们会破坏受害者目标的基础设施,触发事件响应程序,并通过受害者目标 Slack 或 Microsoft Teams 通道监控这些程序。
防范 Lapsus$
微软建议企业实体实施以下方法,防止Lapsus$等待黑客攻击:
- 进一步强化MFA的运用;
- 建立健康可信的端点;
- 充分利用VPN身份认证选项;
- 加强和监控云安全;
- 提高对社会工程攻击的认识;
- 为响应入侵,建立操作安全流程。
近来,Lapsus$英伟达、三星、育碧等多家巨头企业发动攻击。
参考来源:https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-lapsus-extortion-group/