在過去的幾個月里，Lapsus$針對三星、英偉達、沃達豐、育碧和美客多等許多大公司發(fā)起了網(wǎng)絡(luò)攻擊。近日，Lapsus$又通過其Telegram發(fā)布截圖，聲稱入侵了微軟的Azure DevOps服務(wù)器，獲取了包含Bing、Cortana和其他各種內(nèi)部項目的源代碼，此外，還入侵了身份識別與訪問管理(IAM)解決方案的領(lǐng)先提供商Okta，獲取了訪問Okta的管理控制臺和客戶數(shù)據(jù)的權(quán)限。

微軟方面

目前，微軟已經(jīng)確認他們的一名員工受到了Lapsus$黑客組織的入侵，使得威脅參與者可以訪問和竊取他們的部分源代碼。

微軟將Lapsus$數(shù)據(jù)勒索組織追蹤為“DEV-0537”，并表示他們主要專注于獲取受損憑據(jù)以初始訪問公司網(wǎng)絡(luò)。這些憑據(jù)是使用以下方法獲得的：

• 部署惡意的Redline密碼竊取器以獲取密碼和會話令牌
• 在地下犯罪論壇上購買憑證和會話令牌
• 向目標組織(或供應(yīng)商/商業(yè)伙伴)的員工付款，以獲得憑證和多因素身份認證(MFA)的批準
• 在公共代碼存儲庫中搜索公開的憑據(jù)

Redline密碼竊取程序已成為竊取憑據(jù)的首選惡意軟件，通常通過網(wǎng)絡(luò)釣魚電子郵件、水坑、warez網(wǎng)站和YouTube視頻進行分發(fā)。一旦Laspsus$獲得了被盜憑據(jù)的訪問權(quán)限，他們就會使用它來登錄公司面向公眾的設(shè)備和系統(tǒng)，包括VPN、虛擬桌面基礎(chǔ)設(shè)施或身份管理服務(wù)。

微軟表示，他們對使用MFA的帳戶使用會話重放攻擊，或持續(xù)觸發(fā)MFA通知，直到用戶厭倦并確認應(yīng)允許用戶登錄。至少在一次攻擊中，Lapsus$執(zhí)行了SIM交換攻擊，以控制用戶的電話號碼和SMS文本，從而獲得登錄帳戶所需的MFA代碼。

一旦他們獲得對網(wǎng)絡(luò)的訪問權(quán)限，威脅參與者就會使用 AD Explorer 來查找具有更高權(quán)限的帳戶，然后瞄準開發(fā)和協(xié)作平臺，例如SharePoint、Confluence、JIRA、Slack 和 microsoft Teams，盜取其他憑據(jù)。

正如在對微軟的攻擊中看到的那樣，黑客組織還使用這些憑據(jù)來訪問GitLab、GitHub和 Azure DevOps上的源代碼存儲庫。

微軟在他們的報告中解釋道“眾所周知，DEV-0537還利用Confluence、JIRA和GitLab中的漏洞來提升權(quán)限，該組織破壞了運行這些應(yīng)用程序的服務(wù)器以獲取特權(quán)帳戶的憑據(jù)或在所述帳戶中運行并進行轉(zhuǎn)儲憑據(jù)?！?/p>

威脅參與者將收集有價值的數(shù)據(jù)并通過NordVPN連接將其泄露以隱藏其位置，同時對受害者的基礎(chǔ)設(shè)施進行破壞性攻擊以觸發(fā)事件響應(yīng)程序。 然后，威脅參與者通過受害者的Slack或Microsoft Teams渠道監(jiān)控這些程序。

Microsoft建議企業(yè)實體執(zhí)行以下步驟來防范Lapsus$等威脅參與者：

• 加強MFA實施
• 需要健康和可信的端點
• 利用 VPN 的現(xiàn)代身份驗證選項
• 加強和監(jiān)控您的云安全狀況
• 提高對社會工程攻擊的認識
• 建立操作安全流程以響應(yīng) DEV-0537入侵

Okta方面

Okta聯(lián)合創(chuàng)始人兼首席執(zhí)行官Todd McKinnon于3月22日證實了Lapsus$的入侵：“2022 年1月下旬，Okta檢測到有人企圖破壞為我們的一個子處理器工作的第三方客戶支持工程師的帳戶。此事已展開調(diào)查并加以控制。我們相信網(wǎng)上分享的截圖與今年1月的活動有關(guān)，根據(jù)我們迄今為止的調(diào)查，除了那次之外，沒有證據(jù)表明他們正在進行惡意活動。”

但是，其中發(fā)布的一張截圖表明，Lapsus$可以使用Okta的管理面板更改客戶密碼。安全研究人員擔心黑客組織可能使用這種“超級用戶”訪問權(quán)限來破壞使用公司身份驗證解決方案的客戶服務(wù)器。

Lapsus$也在Telegram上的一篇帖子中說：“在人們開始詢問之前，我們沒有從Okta訪問或竊取任何數(shù)據(jù)庫，我們只關(guān)注他們的客戶?！?/p>

此外，調(diào)查顯示，攻擊者可以利用筆記本電腦五天，在此期間，他們能夠訪問Okta的客戶支持面板和公司的Slack服務(wù)器。

Okta在關(guān)于該事件的最新聲明中說：“在2022年1月16日至21日之間有一個為期五天的時間窗口，攻擊者可以訪問支持工程師的筆記本電腦，這與我們昨天了解到的屏幕截圖一致?！?/p>

Lapsus$發(fā)布的屏幕截圖顯示了Okta員工的電子郵件地址，該員工似乎擁有“超級用戶”權(quán)限，允許他們列出用戶、重置密碼、重置MFA等。

但是，Okta解釋說，如果成功，這種妥協(xié)將僅限于支持工程師擁有的訪問權(quán)限，從而防止創(chuàng)建或刪除用戶，或下載客戶數(shù)據(jù)庫。

“支持工程師確實可以訪問屏幕截圖中顯示的有限數(shù)據(jù)，例如Jira票證和用戶列表。支持工程師還可以幫助用戶重置密碼和多因素身份驗證MFA因素，但無法獲取這些密碼”

Okta在周二晚間的更新中表示，目前約有2.5%的客戶受到 Lapsus$ 網(wǎng)絡(luò)攻擊的影響，“我們已經(jīng)確定了這些客戶并直接與他們聯(lián)系。”

在Lapsus$的屏幕截圖中，還有一個Cloudflare員工的電子郵件地址，其密碼被黑客重置，從而入侵了Okta員工的帳戶。

美國網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全公司Cloudflare透露，其安全事件響應(yīng)團隊(SIRT)在凌晨收到第一個潛在問題通知后，Lapsus$屏幕截圖中的公司電子郵件帳戶被暫停了大約90分鐘。

Cloudflare指出，Okta服務(wù)在內(nèi)部用于集成在身份驗證堆棧中的員工身份，其客戶無需擔心，“除非他們自己使用 Okta?！?/p>

為了消除任何未經(jīng)授權(quán)訪問其員工帳戶的機會，Cloudflare檢查了自2021年12月1日以來的所有密碼重置或修改的MFA，總共有144個帳戶符合要求，公司強制對所有帳戶進行密碼重置。

目前，該公司在停職了受感染用戶的活動會話并暫停其帳戶的同時將該問題通知了提供商。