世界多家大型公司遭网络攻击，幕后黑手都是Lapsus$

最近几个月，英伟达、三星、沃达丰、育碧和美客多等多家大型公司遭到了Lapsus$ 勒索团伙的网络攻击。近日，Lapsus$勒索组织又发布截图，声称入侵了微软，并访问和窃取了 Azure DevOps 服务器37GB的源代码。此外，还入侵了国际身份验证龙头厂商Okta，并窃取该公司内部敏感文件。

微软遭Lapsus$黑客组织的入侵

微软官方已经确认其员工账户被黑客入侵，并获取了对源代码存储库的有限访问权限。微软将 Lapsus$数据勒索组织追踪为“DEV-0537”，并表示 Lapsus$ 勒索组织主要通过以下多种方式获取凭证，以获得微软公司的网络访问权限。

1、在地下论坛上购买凭证；

2、部署恶意 Redline 密码窃取程序以进行窃取；

3、在公共代码存储库中搜索公开的凭证；

4、向目标组织（或供应商/业务合作伙伴）的员工开价购买。

Redline密码窃取程序已成为窃取凭据的首选恶意软件，通常通过网络钓鱼电子邮件、水坑、warez网站和YouTube视频进行分发。一旦Laspsus$获得了被盗凭据的访问权限，他们就会使用它来登录公司面向公众的设备和系统，包括VPN、虚拟桌面基础设施或身份管理服务。

微软表示，他们对使用MFA的帐户使用会话重放攻击，或持续触发MFA通知，直到用户厌倦并确认应允许用户登录。至少在一次攻击中，Lapsus$执行了SIM交换攻击，以控制用户的电话号码和SMS文本，从而获得登录帐户所需的MFA代码。

一旦他们获得对网络的访问权限，威胁参与者就会使用 AD Explorer 来查找具有更高权限的帐户，然后瞄准开发和协作平台，例如SharePoint、Confluence、JIRA、Slack 和 Microsoft Teams，盗取其他凭据。

正如在对微软的攻击中看到的那样，黑客组织还使用这些凭据来访问GitLab、GitHub和 Azure DevOps上的源代码存储库。

微软在他们的报告中解释道“众所周知，DEV-0537还利用Confluence、JIRA和GitLab中的漏洞来提升权限，该组织破坏了运行这些应用程序的服务器以获取特权帐户的凭据或在所述帐户中运行并进行转储凭据。”

威胁参与者将收集有价值的数据并通过NordVPN连接将其泄露以隐藏其位置，同时对受害者的基础设施进行破坏性攻击以触发事件响应程序。 然后，威胁参与者通过受害者的Slack或Microsoft Teams渠道监控这些程序。

Microsoft建议企业实体执行以下步骤来防范Lapsus$等威胁参与者：

1、建立健康和可信的端点；

2、充分利用VPN的身份认证选项；

3、进一步强化MFA的运用；

4、提高对社会工程攻击的认识；

5、建立操作安全流程以响应入侵；

6、加强和监控云安全状况。

Okta遭到Lapsus$黑客组织的入侵

3月22日，Okta证实，公司在1月份遭黑客入侵，黑客在2022年1月16日至21日之间可以访问Okta的客户支持面板和公司的Slack服务器，大约375名客户将受到此次网络攻击的影响。

Okta公司的首席安全官Bradbury表示，据估计，该公司1.5万多名客户中，有2.5%的人可能受到了黑客入侵的影响，并且他们的数据可能已被查看或采取过行动。赎金组织Lapsus在周末分享了截图，据称显示超级用户在今年1月21日访问了内部Okta桌面。

Bradbury证实，攻击者确实可以在1月16日至21日之间的五天时间段内访问第三方支持工程师的笔记本电脑。然而，尽管承认客户数据可能已被查看或采取了行动，但CSO淡化了这种影响。

Bradbur称：“这些工程师无法创建或删除用户，也无法下载客户数据库。支持工程师确实可以访问屏幕截图中显示的有限数据，例如Jira票证和用户列表。”同时，他还表示，“支持工程师还可以帮助用户重置密码和多因素身份验证因素，但无法获取这些密码。”此后，Lapsus对这些声明提出了质疑，并认为密码或MFA重置足以危及许多客户。

短短几个月时间，Lapsus$黑客组织就入侵了这么多家大型公司，随着全球信息的普及，黑客组织越来越猖獗，攻击数量越来越多。泛滥成灾的黑客入侵挑战者全球信息安全，企业需要加强保护企业的网络信息安全。