据Bleeping Computer消息,微软已经确认他们的一名员工受到了 Lapsus$ 黑客组织的入侵,使得黑客访问和窃取了他们的部分源代码。
3月21日晚,Lapsus$ 公开了从微软 Azure DevOps 服务器窃取的 37GB 源代码,这些源代码适用于各种内部 Microsoft 项目,包括 Bing、Cortana 和 Bing 地图。在3月22日微软官方网站更新的一篇博客中,确认其员工的一个账户被 Lapsus$ 入侵,并获取了对源代码存储库的有限访问权限。
泄露的源代码项目
微软表示,当攻击者公开披露他们的入侵行为时,其团队已经根据威胁情报调查了被入侵的账户,并能够在攻击者的操作过程中进行干预和打断,从而限制了更广泛的影响。虽然微软没有分享该帐户是如何被入侵的,但他们提供了所观察到的 Lapsus 团伙在多次攻击中所运用的技术和程序 (TTP) 。
对凭证的窃取
微软将 Lapsus$ 数据勒索组织追踪为“DEV-0537”,并表示他们主要专注于通过多种方式获取凭证,以获得初步的公司网络访问权限,包括:
- 部署恶意 Redline 密码窃取程序以进行窃取;
- 在地下论坛上购买凭证;
- 向目标组织(或供应商/业务合作伙伴)的员工开价购买;
- 在公共代码存储库中搜索公开的凭证。
Redline已成为窃取凭证的首选恶意软件,并通过网络钓鱼电子邮件、warez 网站和 YouTube 视频等渠道进行传播。一旦 Laspsus$ 通过窃取凭证访问权限,就会以此来登录公司面向公众的设备和系统,包括 VPN、虚拟桌面基础设施或身份管理服务,例如在今年1月份对Okta工程师电脑的入侵,进而使 300多名客户受到网络攻击影响 。
对于拥有多因素身份验证 (MFA)的用户,微软表示Laspsus$通过使用会话重放攻击,或持续触发 MFA 通知,让一些用户感到厌烦,从而索性允许其登录。至少在一次攻击中,Lapsus$ 会执行 SIM 交换攻击,以控制用户的电话号码和 SMS 文本,从而获得登录帐户所需的 MFA 代码。
一旦获得对网络的访问权限,Laspsus$就会使用 AD Explorer 来查找具有更高权限的帐户,然后瞄准开发和协作平台,例如 SharePoint、Confluence、JIRA、Slack 和 Microsoft Teams。
微软也还注意到一些Laspsus$的其他动向,如使用窃取的凭证来访问 GitLab、GitHub 和 Azure DevOps 上的源代码存储库,并利用 Confluence、JIRA 和 GitLab 中的漏洞来提升权限。在收集到有价值的数据后,通过 NordVPN将数据传输到某个隐蔽的服务器。同时他们会对受害目标的基础设施进行破坏性攻击以触发事件响应程序,并通过受害目标的 Slack 或 Microsoft Teams 渠道监控这些程序。
防范 Lapsus$
微软建议企业实体执行以下方法来防范Lapsus$等黑客的攻击:
- 进一步强化MFA的运用;
- 建立健康和可信的端点;
- 充分利用VPN的身份认证选项;
- 加强和监控云安全状况;
- 提高对社会工程攻击的认识;
- 建立操作安全流程以响应入侵。
近来,Lapsus$已对多家巨头企业发动了攻击,包括英伟达、三星、育碧等。