微软公布黑客集团Lapsus$的操作手法:收购凭证、窃取机密文件并向受害企业勒索

Lapsus$已成为近来安全圈最有名的黑客集团,因为它所攻击的对象都赫赫有名,从Nvidia、三星、Okta到微软,而微软则在得知被攻击之后针对Lapsus$展开全面的调查与分析,披露了该黑客组织的攻击手法,同时提出了防范Lapsus$的建议。

Lapsus$在微软的内部代号为DEV-0537,最早是锁定英国与南美的组织发动攻击,之后才拓展至全球,其攻击目标非常地广泛,从政府机构、科技企业、电信企业、媒体、零售业到医疗看护等,此外,Lapsus$也会入侵个人于加密货币交易中心的账号,接着把账号提领一空。

尽管Lapsus$会向受害者要求赎金,但该组织并不会于受害系统上安装勒索软件,而是窃取受害组织的机密资料,借由威胁公布机密资料向受害者勒索。

与其它黑客集团不同的是,Lapsus$似乎未曾想要掩饰自己的足迹,该集团经常在社交媒体或通过广告对外收购目标对象的员工凭证,像是ATT、Telefonica、微软、苹果、IBM、Atento、Teleperformance、OVH或Locaweb等。

总之,Lapsus$的第一步就是取得目标组织的有效凭证,除了公开收购之外,也会利用电话社交工程及SIM卡挟持取得员工凭证,或者是搜索公开程序代码存储库中曝光的凭证,甚至是付钱给员工或第三方合作对象以取得凭证。

之后黑客利用这些凭证访问目标组织的网络服务,如VPN、远程桌面协议(RDP)、如Citrix等虚拟桌面基础架构,或是包括Azure Active Directory与Okta的身份认证服务,也会借由期间令牌重播,或是使用所窃取的密码来触发MFA(多因素身份认证)提醒,让合法用户于不经意间批准,以满足多因素身份认证的要求。

换句话说,Lapsus$使用了很多力气来获得进入目标组织的权限。微软分析,该集团了解现代技术生态系统统中身份与信赖关系之间的密切关联,而且锁定了电信产业、科技业、IT服务业及技术支持企业,通过这些企业的访问权限来访问其供应商或合作伙伴的网络。

在成功渗透至受害组织之后,Lapsus$即会开采组织内部服务器上未修补的已知漏洞,如JIRA、Gitlab或Confluence,接着搜索程序代码存储库及协作平台以找到更多的凭证与机密。

微软建议各大组织应该强化多因素身份认证的导入,要求不管是来自何处的用户都必须激活MFA,而且最好采用更安全的第二认证因素,像是Microsoft Authenticator或硬件密钥,而避免采用短信认证以预防SIM卡挟持;另也呼吁VPN服务应该采用现代化的认证选项,以阻止多次的身份认证尝试或错误的设备登录;也应加强与监控云计算安全性;提高员工对社交工程攻击的警觉性;以及创建对抗Lapsus$入侵行动的安全操作程序。

发表评论