世界多家大型企业遭受网络攻击,幕后黑手都是它!
我要评论在过去的世界几个月里,Lapsus$针对三星、多家大型都英伟达、企业沃达丰、遭受育碧和美客多等许多大公司发起了网络攻击。网络近日,攻击Lapsus$又通过其Telegram发布截图,幕后声称入侵了微软的黑手Azure DevOps服务器,获取了包含Bing、世界Cortana和其他各种内部项目的多家大型都源代码,此外,企业还入侵了身份识别与访问管理(IAM)解决方案的遭受领先提供商Okta,获取了访问Okta的网络管理控制台和客户数据的权限。
目前,攻击微软已经确认他们的幕后一名员工受到了Lapsus$黑客组织的入侵,使得威胁参与者可以访问和窃取他们的部分源代码。
微软将Lapsus$数据勒索组织追踪为“DEV-0537”,并表示他们主要专注于获取受损凭据以初始访问公司网络。这些凭据是使用以下方法获得的:
部署恶意的Redline密码窃取器以获取密码和会话令牌在地下犯罪论坛上购买凭证和会话令牌向目标组织(或供应商/商业伙伴)的员工付款,以获得凭证和多因素身份认证(MFA)的批准在公共代码存储库中搜索公开的亿华云凭据Redline密码窃取程序已成为窃取凭据的首选恶意软件,通常通过网络钓鱼电子邮件、水坑、warez网站和YouTube视频进行分发。一旦Laspsus$获得了被盗凭据的访问权限,他们就会使用它来登录公司面向公众的设备和系统,包括VPN、虚拟桌面基础设施或身份管理服务。
微软表示,他们对使用MFA的帐户使用会话重放攻击,或持续触发MFA通知,直到用户厌倦并确认应允许用户登录。至少在一次攻击中,Lapsus$执行了SIM交换攻击,以控制用户的电话号码和SMS文本,从而获得登录帐户所需的MFA代码。
一旦他们获得对网络的访问权限,威胁参与者就会使用 AD Explorer 来查找具有更高权限的帐户,然后瞄准开发和协作平台,例如SharePoint、Confluence、JIRA、Slack 和 microsoft Teams,盗取其他凭据。
正如在对微软的云南idc服务商攻击中看到的那样,黑客组织还使用这些凭据来访问GitLab、GitHub和 Azure DevOps上的源代码存储库。
微软在他们的报告中解释道“众所周知,DEV-0537还利用Confluence、JIRA和GitLab中的漏洞来提升权限,该组织破坏了运行这些应用程序的服务器以获取特权帐户的凭据或在所述帐户中运行并进行转储凭据。”
威胁参与者将收集有价值的数据并通过NordVPN连接将其泄露以隐藏其位置,同时对受害者的基础设施进行破坏性攻击以触发事件响应程序。 然后,威胁参与者通过受害者的Slack或Microsoft Teams渠道监控这些程序。
Microsoft建议企业实体执行以下步骤来防范Lapsus$等威胁参与者:
加强MFA实施需要健康和可信的端点利用 VPN 的现代身份验证选项加强和监控您的云安全状况提高对社会工程攻击的认识建立操作安全流程以响应 DEV-0537入侵Okta方面Okta联合创始人兼首席执行官Todd McKinnon于3月22日证实了Lapsus$的入侵:“2022 年1月下旬,Okta检测到有人企图破坏为我们的一个子处理器工作的第三方客户支持工程师的帐户。此事已展开调查并加以控制。我们相信网上分享的截图与今年1月的香港云服务器活动有关,根据我们迄今为止的调查,除了那次之外,没有证据表明他们正在进行恶意活动。”
但是,其中发布的一张截图表明,Lapsus$可以使用Okta的管理面板更改客户密码。安全研究人员担心黑客组织可能使用这种“超级用户”访问权限来破坏使用公司身份验证解决方案的客户服务器。
Lapsus$也在Telegram上的一篇帖子中说:“在人们开始询问之前,我们没有从Okta访问或窃取任何数据库,我们只关注他们的客户。”
此外,调查显示,攻击者可以利用笔记本电脑五天,在此期间,他们能够访问Okta的客户支持面板和公司的Slack服务器。
Okta在关于该事件的最新声明中说:“在2022年1月16日至21日之间有一个为期五天的时间窗口,攻击者可以访问支持工程师的笔记本电脑,这与我们昨天了解到的屏幕截图一致。”
Lapsus$发布的屏幕截图显示了Okta员工的电子邮件地址,该员工似乎拥有“超级用户”权限,允许他们列出用户、重置密码、重置MFA等。
但是,Okta解释说,如果成功,这种妥协将仅限于支持工程师拥有的访问权限,从而防止创建或删除用户,或下载客户数据库。
“支持工程师确实可以访问屏幕截图中显示的有限数据,例如Jira票证和用户列表。支持工程师还可以帮助用户重置密码和多因素身份验证MFA因素,但无法获取这些密码”
Okta在周二晚间的更新中表示,目前约有2.5%的客户受到 Lapsus$ 网络攻击的影响,“我们已经确定了这些客户并直接与他们联系。”
在Lapsus$的屏幕截图中,还有一个Cloudflare员工的电子邮件地址,其密码被黑客重置,从而入侵了Okta员工的帐户。
美国网络基础设施和安全公司Cloudflare透露,其安全事件响应团队(SIRT)在凌晨收到第一个潜在问题通知后,Lapsus$屏幕截图中的公司电子邮件帐户被暂停了大约90分钟。
Cloudflare指出,Okta服务在内部用于集成在身份验证堆栈中的员工身份,其客户无需担心,“除非他们自己使用 Okta。”
为了消除任何未经授权访问其员工帐户的机会,Cloudflare检查了自2021年12月1日以来的所有密码重置或修改的MFA,总共有144个帐户符合要求,公司强制对所有帐户进行密码重置。
目前,该公司在停职了受感染用户的活动会话并暂停其帐户的同时将该问题通知了提供商。
相关文章
苹果电脑显示移动终端错误的解决方法(解决苹果电脑显示移动终端错误的技巧与经验)
摘要:在使用苹果电脑时,有时会遇到移动终端错误的问题,这给用户带来了不便和困扰。然而,这些问题往往可以通过简单的解决方法和技巧来解决。本文将为大家介绍一些解决苹果电脑显示移动终端错误的方...2025-11-05- 摘要:随着科技的飞速发展,智能手表已经成为现代人生活中不可或缺的辅助工具。而以琦沃智能手表作为市场上领先的品牌,以其出色的功能和卓越的设计成为了人们心目中的首选。本文将详细介绍以琦沃智能...2025-11-05
- 摘要:在现代社会,电器已经成为人们生活中必不可少的一部分。而在众多电商平台中,唯品会以其丰富多样的电器商品和超高的性价比,成为了人们购买电器的首选之一。1.唯品会电器:品牌齐全,...2025-11-05
凡客诚品4K电视的性能表现如何?(一款优质4K电视,细节与色彩并存)
摘要:在现代科技迅速发展的今天,电视已经不仅仅是家庭娱乐的一部分,更是人们生活中不可或缺的伙伴。而凡客诚品作为一家知名品牌,近期推出了一款备受瞩目的4K电视。本文将从性能表现方面来介绍这...2025-11-05- 摘要:电脑键盘是我们日常工作和学习中不可或缺的工具,然而在使用过程中,我们经常会因为打字错误而感到烦恼。本文将探讨如何从打字错误中调整自己的思维,将错误转化为主题写一篇文章,以提高我们的...2025-11-05
- 摘要:随着科技的不断发展,人们对于电脑的需求也越来越高。而神通电脑作为一款颠覆性的智能科技产品,引起了广大消费者的极大关注。本文将深入探讨神通电脑的惊人功能与应用,揭示其超越想象的智能科...2025-11-05
最新评论