Lapsus$ 勒索组织入侵微软窃取37GB源代码

Lapsus$ 勒索组织近期很活跃，据外媒消息称， Lapsus$ 黑客组织入侵了微软，并访问和窃取了 Azure DevOps 服务器37GB的源代码。目前，微软官方已经确认其员工账户被黑客入侵，并获取了对源代码存储库的有限访问权限。

网络攻击事件细节

3月21日晚，Lapsus$ 勒索组织公开了从微软 Azure DevOps 服务器窃取的 37GB 源代码，这些源代码适用于各种内部 Microsoft 项目，包括 Bing、Cortana 和 Bing 地图。3月22日，微软官网网站更新的一篇博客中，确认Lapsus$ 入侵微软一个员工账户，并获取了对源代码存储库的有限访问权限。

以下是泄露的源代码项目

微软表示，当Lapsus$ 公开他们的入侵行为时，微软的团队已经根据威胁情报调查了被入侵的账户，并且进行了干预和打断，限制更广泛的影响。对于该账户是如何被入侵的，对此微软并没有回复，但微软提供了所观察到的Lapsus 团伙在多次攻击中所运用的技术和程序 (TTP) 。

通过多种方式窃取凭证

微软将 Lapsus$ 数据勒索组织追踪为“DEV-0537”，并表示 Lapsus$ 勒索组织主要通过以下多种方式获取凭证，以获得微软公司的网络访问权限。

1、在地下论坛上购买凭证；

2、部署恶意 Redline 密码窃取程序以进行窃取；

3、在公共代码存储库中搜索公开的凭证；

4、向目标组织（或供应商/业务合作伙伴）的员工开价购买。

Redline通过网络钓鱼电子邮件、YouTube 视频、warez 网站等渠道进行传播，是窃取凭证的首选恶意软件。 Laspsus$ 通过窃取凭证访问权限后，就会以此来登录公司面向公众的设备和系统，包括 VPN、虚拟桌面基础设施或身份管理服务。例如在今年1月份入侵了Okta工程师电脑，使300多名客户受到网络攻击影响 。

如果用户拥有多因素身份验证（MFA），Laspsus 会通过会话重放攻击，或者通过持续触发MFA通知，让用户厌烦后允许其登录。至少在一次攻击中，Lapsus$ 会执行 SIM 交换攻击，从而控制用户的电话号码和 SMS 文本，获得登录帐户所需的 MFA 代码。

Laspsus$ 一旦获得对网络的访问权限，就会使用 AD Explorer 来查找具有更高权限的帐户，然后瞄准开发和协作平台，例如 SharePoint、Confluence、JIRA、Slack 和 Microsoft Teams。

Laspsus$ 使用窃取的凭证来访问 GitLab、GitHub 和 Azure DevOps 上的源代码存储库，并利用 Confluence、JIRA 和 GitLab 中的漏洞来提升权限。在收集到有价值的数据后，通过 NordVPN将数据传输到某个隐蔽的服务器。Laspsus$会对受害目标的基础设施进行破坏性攻击以触发事件响应程序，并通过受害目标的 Slack 或 Microsoft Teams 渠道监控这些程序。

如何防范Lapsus$勒索组织的攻击

1、建立健康和可信的端点；

2、充分利用VPN的身份认证选项；

3、进一步强化MFA的运用；

4、提高对社会工程攻击的认识；

5、建立操作安全流程以响应入侵；

6、加强和监控云安全状况。

近期，Lapsus$勒索组织比较活跃，已经对多家巨头进行了网络攻击，包括三星、英伟达、育碧等。企业实体一定要通过以上的6个方法保护好网络安全，防范黑客的攻击。