Напомним, что в ночь с понедельника на вторник кибергруппа Lapsus$ опубликовала 37 ГБ исходного кода, украденного с сервера Microsoft Azure DevOps. Исходный код предназначен для различных внутренних проектов Microsoft, в том числе для Bing, Cortana и Bing Maps.
В новой публикации блога, опубликованной вечером 22 марта, Microsoft подтвердила, что учетная запись одного из сотрудников была скомпрометирована Lapsus$, в результате чего злоумышленники получили ограниченный доступ к репозиториям исходного кода.
В бюллетене безопасности Microsoft пояснила:
В злонамеренных действиях не участвовал код или данные клиентов компании. Наше расследование показало, что одна учетная запись была скомпрометирована, что предоставило злоумышленники ограниченный доступ. Наши группы реагирования на инциденты кибербезопасности быстро приступили к исправлению нарушения безопасности и предотвращению дальнейших действий.
Microsoft не полагается на секретность кода как на меру безопасности, и просмотр исходного кода не ведет к повышению риска. Тактика DEV-0537, использованная при этом вторжении, отражает тактику и приемы, обсуждаемые в этом блоге.
Наша команда уже изучила скомпрометированную учетную запись на основе информации об угрозах, когда злоумышленник публично сообщил о своем вторжении. Это публичное раскрытие усилило наши контрмеры, позволив нашей команде вмешаться и прервать действия злоумышленника в середине операции, ограничив более широкое воздействие.
Хотя Microsoft не сообщила, как была скомпрометирована учетная запись, компания предоставила общий обзор тактики, методов и процедур (TTP) банды Lapsus, которые использовались в нескольких атаках.
Основное внимание на компрометации учетных данных
Microsoft отслеживает кибергруппировку Lapsus$ по идентификатору «DEV-0537». По данным компании, участники группировки в основном сосредоточены на получении скомпрометированных учетных данных для первоначального доступа к корпоративным сетям.
Эти учетные данные злоумышленники получают с использованием следующих методов:
- Развертывание вредоносного средства перехвата паролей Redline для получения паролей и токенов сеанса;
- Покупка учетных данных и сессионных токенов на криминальных подпольных форумах;
- Оплата сотрудникам целевых организаций (или поставщикам/деловым партнерам) за доступ к учетным данным и одобрение многофакторной аутентификации (MFA);
- Поиск общедоступных репозиториев кода для открытых учетных данных;
Инструмент для перехвата паролей Redline все чаще используется для кражи учетных данных и обычно распространяется через фишинговые электронные письма, «атаки на водопои» (атака на часто посещаемые сотрудниками организации сайты), варез-сайты и видео на YouTube.
Как только Laspsus$ получает доступ к скомпрометированным учетным данным, киберпреступники используют их для входа в общедоступные устройства и системы компании, включая VPN, инфраструктуру виртуальных рабочих столов или службы управления идентификацией, такие как Okta, которые они взломали в январе.
Microsoft отмечает, что Laspsus$ использует атаки с повторением сеанса для учетных записей, использующих многофакторную аутентификацию (MFA), или постоянно инициируют уведомления многофакторной аутентификации, пока пользователь не устанет от них и не подтвердит вход.
Microsoft утверждает, что по крайней мере в одной атаке Lapsus$ провел атаку с подменой SIM-карты, чтобы получить контроль над телефонными номерами пользователя и текстами SMS для авторизации с помощью многофакторной аутентификации.
Получив доступ к сети, злоумышленники используют инструмент AD Explorer для поиска учетных записей с более высокими привилегиями, а затем выбирают платформы для разработки и совместной работы, такие как SharePoint, Confluence, JIRA, Slack и Microsoft Teams, где украдены другие учетные данные.
Хакеры также используют эти учетные данные для получения доступа к репозиториям исходного кода в GitLab, GitHub и Azure DevOps.
В своем отчете Microsoft поясняет:
Известно также, что DEV-0537 использует уязвимости в Confluence, JIRA и GitLab для повышения привилегий.
Группа скомпрометировала серверы, на которых запущены эти приложения, чтобы получить учетные данные привилегированной учетной записи или запустить в контексте указанной учетной записи и сбросить учетные данные.
Затем злоумышленники собирают ценные данные и передают их через соединения NordVPN, чтобы скрыть свое местоположение, одновременно выполняя разрушительные атаки на инфраструктуру жертв, чтобы инициировать процедуры реагирования на инциденты.
Затем злоумышленники отслеживают эти процедуры через каналы Slack или Microsoft Teams жертвы.
Как защититься от атак Laspsus$
Microsoft рекомендует организациям выполнить следующие общие шаги для защиты от таких злоумышленников, как Lapsus$:
- Улучшить реализацию многофакторной аутентификации
- Обеспечить работоспособные и надежные конечные точки
- Использовать современные варианты аутентификации для VPN
- Усилить состояние безопасности облачной инфраструктуры
- Повысить осведомленности об атаках социальной инженерии
- Установить оперативные процессы безопасности в ответ на вторжения DEV-0537
Недавно Lapsus$ провел многочисленные атаки на крупные компании, в том числе на NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre, а теперь и Microsoft.
Администраторам настоятельно рекомендуется ознакомились с тактикой, используемой этой группой, изучив отчет Microsoft.
Последние статьи #Microsoft
• Microsoft PowerToys 0.87.1: исправление проблем стабильности в Windows 10, ошибок .NET 9 и Расширенной вставки
• Microsoft тестирует перевод в режиме реального времени на Copilot+ ПК с процессорами Intel и AMD
• Microsoft рассказала об эксклюзивных функциях Windows 11 для игр. Стоит ли обновляться с Windows 10?
• Microsoft блокирует обновление до Windows 11, версия 24H2 на ПК с включенной функцией Auto HDR из-за проблем с играми
• Microsoft подтвердила проблему с выводом звука в Windows 11, версия 24H2
• GitHub открыл бесплатный доступ к ИИ-инструменту Copilot в VS Code – с поддержкой GPT-4o и Claude 3.5