微軟披露了黑客組織 Lapsus $ 的入侵。
在 Lapsus $ 發佈包含 Bing、Bing 地圖和 Cortana 源代碼部分的 torrent 文件數小時後,微軟在 3月 22日的一篇博客文章中入侵了一名員工的帳戶。該帳戶被一個團體入侵,並宣佈攻擊者 “訪問受限” 到微軟的系統並竊取了該公司的源代碼。
據微軟稱,客戶的代碼和數據並未洩露。
該公司表示:”我們的網絡安全響應團隊已立即採取措施修復受損賬戶並防止進一步的欺詐活動”。”微軟不依賴代碼的機密性作為安全措施,瀏覽源代碼並不會增加風險。當這個欺詐者宣布入侵時,我們的團隊已經基於威脅信息。我們正在調查被入侵的帳戶。此版本升級了我們的行動,並允許我們的團隊在操作過程中進行干預和中斷操作,進一步減少了影響”。
Microsoft 沒有分享帳戶如何被入侵的詳細信息,但提供了 Lapsus $ 組織的策略、技術和程式的概述,其威脅情報中心 (MSTIC) 已在多次攻擊中發現。最初 Lapsus $ 攻擊針對的是南美和英國的組織,但後來擴展到全球技術、電信、媒體、零售和醫療保健領域的政府機構和公司。
據微軟稱該公司正在追踪的 Lapsus $ 是 DEV-0537,它以 “純粹的搶劫和破壞模式” 運作並且與其他黑客組織不同,”不會隱藏其踪跡”。這似乎是因為該組織正在為公司招募內部人員進行有針對性的攻擊。Lapsus $ 使用多種方式來獲得對組織的初始訪問權限,並且通常專注於侵犯用戶的身份和帳戶。除了從目標組織招聘員工外,您還可以從暗網論壇購買憑證、搜索公共憑證存儲庫、部署密碼竊取紅線等等。
Lapsus $ 將使用洩露的憑據訪問目標公司面向 Internet 的設備和系統,包括虛擬專用網絡、遠程桌面基礎設施和 Okta 等身份管理服務。黑客組織在一月份成功入侵了 Okta。據微軟稱 Lapsus $ 發起了一項 SIM 交換攻擊,以多因素身份驗證登錄該組織所需控制員工的電話號碼和短信,試圖訪問至少一次違規。
訪問網絡後,Lapsus $ 使用公開可用的工具探索組織的用戶帳戶,以尋找具有更高和更廣泛權限的員工,開發 Jira、Slack、Microsoft Teams 等,以協作平台為目標並竊取憑據。黑客組織還使用這些憑據來訪問 GitLab、GitHub 和 Azure DevOps 源代碼存儲庫,以及對 Microsoft 的攻擊。
“在某些情況下,DEV-0537 會致電該組織的服務台,以說服支持人員重置他們的特權帳戶憑據”,微軟補充說。”這個小組使用預先收集的信息 (例如個人資料圖片) 來強迫以英語為母語的人與服務台人員交談,增加了社會工程學的誘惑。”
Lapsus $ 團伙將在已知的虛擬專用服務器 (VPS) 提供商上建立專用基礎設施,並利用 NordVPN (為消費者提供的虛擬專用網絡服務) 洩漏數據。您甚至可以使用地理位置接近目標的本地 VPN 服務器來避免啟動網絡檢測工具。被盜的數據將用於未來的勒索或向公眾開放。
黑客組織 Lapsus $ 已經危及包括 NVIDIA 和三星在內的許多知名公司,並且在過去幾週內已經為人所知。本週早些時候,發佈了 Okta 內部系統的屏幕截圖,顯示 Okta 是最新的受害者。Okta 承認 Lapsus $ 是一次信息洩露,使第三方客戶支持工程師面臨風險,並解釋說它影響了 15,000 名客戶中的約 2.5%。
目前尚不清楚為什麼 Okta 之前沒有通知客戶在一月份的五天內發生的違規行為。
| 圖片來源:JAAP ARRIENS / NURPHOTO / GETTY IMAGES
記得 LIKE 我地 facebook、follow IG 同支持最潮及最新資訊既 《飛聞CHILL流誌》 ??????