3月22日,微软公开承认他们的一名员工受到了 Lapsus$ 黑客组织的入侵,导致攻击者可以访问和窃取他们的部分源代码。

Lapsus$ 是一个横空出世的数据勒索黑客组织,他们不会在受害者的设备上安装勒索软件。但是他们通过破坏公司系统,窃取源代码、客户名单、数据库和其他有价值的数据,以威胁公开数据来向受害者公司勒索大量赎金。

3月20日,Lapsus$团伙宣布入侵微软 Azure DevOps 服务器窃取了37GB源代码,并公布了一张源代码存储库的截图,Lapsus$ 在21日晚发布了一份9gb 7zip压缩包的种子文件,其中包含了他们声称属于微软的250多个项目的源代码。相关关人士称,这个未压缩的存档文件大约有37GB。Lapsus$ 说它包含了90%的 Bing 源代码,大约45%的 Bing Maps 和 Cortana 代码。
 

泄露的源代码项目

 

“观察到的活动不涉及客户代码或数据。我们的调查发现一个帐户已被盗用,拥有有限的访问权限。我们的网络安全响应团队迅速参与修复被盗的帐户,并防止进一步的活动。”
“当攻击者公开披露他们的入侵行为时,我们的团队已经根据威胁情报调查了被入侵的账户。这次公开披露升级了我们的防御措施和流程,使我们的团队能够在攻击者的操作过程中进行干预和打断,从而限制了更广泛的影响。”
微软在22日的声明中还表示,微软不依赖代码保密作为安全措施,查看源代码不会导致风险升高。
即便如此,也不意味着源代码中没有其他有价值的数据。源代码存储库通常还包含访问令牌、凭证、API密钥,甚至代码签名证书等。
虽然微软没有分享该帐户是如何被入侵的,但他们提供了 Lapsus$ 团伙在多次攻击中观察到的战术、技术和程序 (TTP) 的总体概述。

 

专注窃取受损凭证

微软将 Lapsus$ 数据勒索组织追踪为“DEV-0537”,并表示他们主要专注于窃取受损凭证以获得公司网络的初始访问权限。

这些凭证通过以下方法获得:

Redline密码窃取程序已成为窃取凭据的首选恶意软件,通常通过网络钓鱼电子邮件、warez 网站和 YouTube 等视频传播。
一旦Laspsus$ 获得了被盗凭据的访问权限,他们就登录该公司面向公众的设备和系统,包括 VPN、虚拟桌面基础设施或身份管理服务,例如他们在 1 月份对 Okta 的入侵,使300多名客户遭受影响 。

微软表示,他们对使用多因素身份验证( MFA)的帐户使用会话重放攻击,或持续触发 MFA 通知,直到用户不胜其烦从而允许登录。
微软还表示,至少在一次攻击中,Lapsus$ 执行了 SIM 交换攻击,以控制用户的电话号码和 SMS 文本,从而获得登录帐户所需的 MFA 代码。
一旦获得对网络的访问权限,他们就会使用AD Explorer查找具有更高权限的帐户,然后瞄准开发和协作平台,例如 SharePoint、Confluence、JIRA、Slack 和 Microsoft Teams。 
他们还会通过窃取到的凭证来访问 GitLab、GitHub 和 Azure DevOps 上的源代码存储库,利用 Confluence、JIRA 和 GitLab 中的漏洞来提升权限。
Laspsus$收集有价值的数据并通过 NordVPN 连接将其泄露以隐藏其位置,同时对受害者的基础设施进行破坏性攻击以触发事件响应程序。然后通过受害者的 Slack 或 Microsoft Teams 渠道监控这些程序

 

如何防范Lapsus$

Microsoft 建议企业执行以下步骤来防范 Lapsus$ 等勒索组织:

Lapsus$ 勒索组织频频得手,拿到了无数机密信息和源代码。在短短数月内,该组织高调入侵了NVIDIA 、三星、育碧、Mercado Libre 和沃达丰等一系列知名公司,威胁将泄露窃取的数据和源代码,以此勒索高额赎金。从微软的公开博客文章中可以看出,微软团队之所以能够及时打断攻击,也是由于Lapsus$组织的公开披露
全世界的科技巨头似乎对Lapsus$勒索组织毫无抵抗力,安全防御体系形同虚设。这是一个令人震惊也值得反思的事实,企业在未遭受重大攻击时,很少关注到安全防御体系真实的有效性,往往通过多重安全软件和杀毒软件来堆砌安全感。但当真正的威胁来临时,这种镜花水月般的安全感立刻被残酷的现实打败,企业即便投入大量资金,也未必能买到真正的安全。
 

因此,企业在建立部署安全防御体系之后,还有一个必不可少的步骤,就是验证防御体系的有效性。验证的过程需要尽可能还原真实的攻击与入侵,但又不至于遭受真正的威胁。塞讯验证通过全天候追踪互联网黑客组织和漏洞,利用得到的一手情报,及时还原攻击手法,为未受害企业提供验证手段

 

像Lapsus$团伙这样的新面孔,在今后的网络犯罪领域一定还会层出不穷,新的攻击手法也会让更多的企业防不胜防。塞讯验证希望能够帮助企业优化安全防御体系,做好时刻应对威胁的完善准备。

 

| 参考来源