在過去的幾個月里，Lapsus$針對三星、英偉達、沃達豐、育碧和美客多等許多大公司發起了網絡攻擊。近日，Lapsus$又通過其Telegram發布截圖，聲稱入侵了微軟的Azure DevOps服務器，獲取了包含Bing、Cortana和其他各種內部項目的源代碼，此外，還入侵了身份識別與訪問管理(IAM)解決方案的領先提供商Okta，獲取了訪問Okta的管理控制臺和客戶數據的權限。

微軟方面

目前，微軟已經確認他們的一名員工受到了Lapsus$黑客組織的入侵，使得威脅參與者可以訪問和竊取他們的部分源代碼。

微軟將Lapsus$數據勒索組織追蹤為“DEV-0537”，并表示他們主要專注于獲取受損憑據以初始訪問公司網絡。這些憑據是使用以下方法獲得的：

• 部署惡意的Redline密碼竊取器以獲取密碼和會話令牌
• 在地下犯罪論壇上購買憑證和會話令牌
• 向目標組織(或供應商/商業伙伴)的員工付款，以獲得憑證和多因素身份認證(MFA)的批準
• 在公共代碼存儲庫中搜索公開的憑據

Redline密碼竊取程序已成為竊取憑據的首選惡意軟件，通常通過網絡釣魚電子郵件、水坑、warez網站和YouTube視頻進行分發。一旦Laspsus$獲得了被盜憑據的訪問權限，他們就會使用它來登錄公司面向公眾的設備和系統，包括VPN、虛擬桌面基礎設施或身份管理服務。

微軟表示，他們對使用MFA的帳戶使用會話重放攻擊，或持續觸發MFA通知，直到用戶厭倦并確認應允許用戶登錄。至少在一次攻擊中，Lapsus$執行了SIM交換攻擊，以控制用戶的電話號碼和SMS文本，從而獲得登錄帳戶所需的MFA代碼。

一旦他們獲得對網絡的訪問權限，威脅參與者就會使用 AD Explorer 來查找具有更高權限的帳戶，然后瞄準開發和協作平臺，例如SharePoint、Confluence、JIRA、Slack 和 microsoft Teams，盜取其他憑據。

正如在對微軟的攻擊中看到的那樣，黑客組織還使用這些憑據來訪問GitLab、GitHub和 Azure DevOps上的源代碼存儲庫。

微軟在他們的報告中解釋道“眾所周知，DEV-0537還利用Confluence、JIRA和GitLab中的漏洞來提升權限，該組織破壞了運行這些應用程序的服務器以獲取特權帳戶的憑據或在所述帳戶中運行并進行轉儲憑據。”

威脅參與者將收集有價值的數據并通過NordVPN連接將其泄露以隱藏其位置，同時對受害者的基礎設施進行破壞性攻擊以觸發事件響應程序。 然后，威脅參與者通過受害者的Slack或Microsoft Teams渠道監控這些程序。

Microsoft建議企業實體執行以下步驟來防范Lapsus$等威脅參與者：

• 加強MFA實施
• 需要健康和可信的端點
• 利用 VPN 的現代身份驗證選項
• 加強和監控您的云安全狀況
• 提高對社會工程攻擊的認識
• 建立操作安全流程以響應 DEV-0537入侵

Okta方面

Okta聯合創始人兼首席執行官Todd McKinnon于3月22日證實了Lapsus$的入侵：“2022 年1月下旬，Okta檢測到有人企圖破壞為我們的一個子處理器工作的第三方客戶支持工程師的帳戶。此事已展開調查并加以控制。我們相信網上分享的截圖與今年1月的活動有關，根據我們迄今為止的調查，除了那次之外，沒有證據表明他們正在進行惡意活動。”

但是，其中發布的一張截圖表明，Lapsus$可以使用Okta的管理面板更改客戶密碼。安全研究人員擔心黑客組織可能使用這種“超級用戶”訪問權限來破壞使用公司身份驗證解決方案的客戶服務器。

Lapsus$也在Telegram上的一篇帖子中說：“在人們開始詢問之前，我們沒有從Okta訪問或竊取任何數據庫，我們只關注他們的客戶。”

此外，調查顯示，攻擊者可以利用筆記本電腦五天，在此期間，他們能夠訪問Okta的客戶支持面板和公司的Slack服務器。

Okta在關于該事件的最新聲明中說：“在2022年1月16日至21日之間有一個為期五天的時間窗口，攻擊者可以訪問支持工程師的筆記本電腦，這與我們昨天了解到的屏幕截圖一致。”

Lapsus$發布的屏幕截圖顯示了Okta員工的電子郵件地址，該員工似乎擁有“超級用戶”權限，允許他們列出用戶、重置密碼、重置MFA等。

但是，Okta解釋說，如果成功，這種妥協將僅限于支持工程師擁有的訪問權限，從而防止創建或刪除用戶，或下載客戶數據庫。

“支持工程師確實可以訪問屏幕截圖中顯示的有限數據，例如Jira票證和用戶列表。支持工程師還可以幫助用戶重置密碼和多因素身份驗證MFA因素，但無法獲取這些密碼”

Okta在周二晚間的更新中表示，目前約有2.5%的客戶受到 Lapsus$ 網絡攻擊的影響，“我們已經確定了這些客戶并直接與他們聯系。”

在Lapsus$的屏幕截圖中，還有一個Cloudflare員工的電子郵件地址，其密碼被黑客重置，從而入侵了Okta員工的帳戶。

美國網絡基礎設施和安全公司Cloudflare透露，其安全事件響應團隊(SIRT)在凌晨收到第一個潛在問題通知后，Lapsus$屏幕截圖中的公司電子郵件帳戶被暫停了大約90分鐘。

Cloudflare指出，Okta服務在內部用于集成在身份驗證堆棧中的員工身份，其客戶無需擔心，“除非他們自己使用 Okta。”

為了消除任何未經授權訪問其員工帳戶的機會，Cloudflare檢查了自2021年12月1日以來的所有密碼重置或修改的MFA，總共有144個帳戶符合要求，公司強制對所有帳戶進行密碼重置。

目前，該公司在停職了受感染用戶的活動會話并暫停其帳戶的同時將該問題通知了提供商。