在过去的几个月里,Lapsus$针对三星、英伟达、沃达丰、育碧和美客多等许多大公司发起了网络攻击。近日,Lapsus$又通过其Telegram发布截图,声称入侵了微软的Azure DevOps服务器,获取了包含Bing、Cortana和其他各种内部项目的源代码,此外,还入侵了身份识别与访问管理(IAM)解决方案的领先提供商Okta,获取了访问Okta的管理控制台和客户数据的权限。
微软方面
目前,微软已经确认他们的一名员工受到了Lapsus$黑客组织的入侵,使得威胁参与者可以访问和窃取他们的部分源代码。
微软将Lapsus$数据勒索组织追踪为“DEV-0537”,并表示他们主要专注于获取受损凭据以初始访问公司网络。这些凭据是使用以下方法获得的:
- 部署恶意的Redline密码窃取器以获取密码和会话令牌
- 在地下犯罪论坛上购买凭证和会话令牌
- 向目标组织(或供应商/商业伙伴)的员工付款,以获得凭证和多因素身份认证(MFA)的批准
- 在公共代码存储库中搜索公开的凭据
Redline密码窃取程序已成为窃取凭据的首选恶意软件,通常通过网络钓鱼电子邮件、水坑、warez网站和YouTube视频进行分发。一旦Laspsus$获得了被盗凭据的访问权限,他们就会使用它来登录公司面向公众的设备和系统,包括VPN、虚拟桌面基础设施或身份管理服务。
微软表示,他们对使用MFA的帐户使用会话重放攻击,或持续触发MFA通知,直到用户厌倦并确认应允许用户登录。至少在一次攻击中,Lapsus$执行了SIM交换攻击,以控制用户的电话号码和SMS文本,从而获得登录帐户所需的MFA代码。
一旦他们获得对网络的访问权限,威胁参与者就会使用 AD Explorer 来查找具有更高权限的帐户,然后瞄准开发和协作平台,例如SharePoint、Confluence、JIRA、Slack 和 microsoft Teams,盗取其他凭据。
正如在对微软的攻击中看到的那样,黑客组织还使用这些凭据来访问GitLab、GitHub和 Azure DevOps上的源代码存储库。
微软在他们的报告中解释道“众所周知,DEV-0537还利用Confluence、JIRA和GitLab中的漏洞来提升权限,该组织破坏了运行这些应用程序的服务器以获取特权帐户的凭据或在所述帐户中运行并进行转储凭据。”
威胁参与者将收集有价值的数据并通过NordVPN连接将其泄露以隐藏其位置,同时对受害者的基础设施进行破坏性攻击以触发事件响应程序。 然后,威胁参与者通过受害者的Slack或Microsoft Teams渠道监控这些程序。
Microsoft建议企业实体执行以下步骤来防范Lapsus$等威胁参与者:
- 加强MFA实施
- 需要健康和可信的端点
- 利用 VPN 的现代身份验证选项
- 加强和监控您的云安全状况
- 提高对社会工程攻击的认识
- 建立操作安全流程以响应 DEV-0537入侵
Okta方面
Okta联合创始人兼首席执行官Todd McKinnon于3月22日证实了Lapsus$的入侵:“2022 年1月下旬,Okta检测到有人企图破坏为我们的一个子处理器工作的第三方客户支持工程师的帐户。此事已展开调查并加以控制。我们相信网上分享的截图与今年1月的活动有关,根据我们迄今为止的调查,除了那次之外,没有证据表明他们正在进行恶意活动。”
但是,其中发布的一张截图表明,Lapsus$可以使用Okta的管理面板更改客户密码。安全研究人员担心黑客组织可能使用这种“超级用户”访问权限来破坏使用公司身份验证解决方案的客户服务器。
Lapsus$也在Telegram上的一篇帖子中说:“在人们开始询问之前,我们没有从Okta访问或窃取任何数据库,我们只关注他们的客户。”
此外,调查显示,攻击者可以利用笔记本电脑五天,在此期间,他们能够访问Okta的客户支持面板和公司的Slack服务器。
Okta在关于该事件的最新声明中说:“在2022年1月16日至21日之间有一个为期五天的时间窗口,攻击者可以访问支持工程师的笔记本电脑,这与我们昨天了解到的屏幕截图一致。”
Lapsus$发布的屏幕截图显示了Okta员工的电子邮件地址,该员工似乎拥有“超级用户”权限,允许他们列出用户、重置密码、重置MFA等。
但是,Okta解释说,如果成功,这种妥协将仅限于支持工程师拥有的访问权限,从而防止创建或删除用户,或下载客户数据库。
“支持工程师确实可以访问屏幕截图中显示的有限数据,例如Jira票证和用户列表。支持工程师还可以帮助用户重置密码和多因素身份验证MFA因素,但无法获取这些密码”
Okta在周二晚间的更新中表示,目前约有2.5%的客户受到 Lapsus$ 网络攻击的影响,“我们已经确定了这些客户并直接与他们联系。”
在Lapsus$的屏幕截图中,还有一个Cloudflare员工的电子邮件地址,其密码被黑客重置,从而入侵了Okta员工的帐户。
美国网络基础设施和安全公司Cloudflare透露,其安全事件响应团队(SIRT)在凌晨收到第一个潜在问题通知后,Lapsus$屏幕截图中的公司电子邮件帐户被暂停了大约90分钟。
Cloudflare指出,Okta服务在内部用于集成在身份验证堆栈中的员工身份,其客户无需担心,“除非他们自己使用 Okta。”
为了消除任何未经授权访问其员工帐户的机会,Cloudflare检查了自2021年12月1日以来的所有密码重置或修改的MFA,总共有144个帐户符合要求,公司强制对所有帐户进行密码重置。
目前,该公司在停职了受感染用户的活动会话并暂停其帐户的同时将该问题通知了提供商。