【連環爆料事件】Microsoft確認被Lapsus$盜取部分應用服務source code
繼之前連環公開 Nvidia、Samsung 等公司部分技術的源始碼,Lapsus$ 的最新受害者是 IT 龍頭公司 Microsoft。據知相關應用服務包括搜尋引擎 Bing、Bing Maps 及智能個人助理 Cortana。Microsoft 快速回應被入侵事件,更反過來公開對方的入侵手段及技術,希望能避免再出現受害者。
隨著勒索軟件 REvil、Darkside 被執法機構高調打擊,其他勒索集團的行動都趨向低調,以避免成為下一個打擊目標。唯獨 Lapsus$ 例外,由二月至今已不停高調公開入侵個案,特別是對方如沒有在限期前交贖款,Lapsus$ 便會毫不客氣直接披露部分敏感資料,例如 Nvidia 用於監測顯示卡挖礦活動的 Lite Hash Rate 演算法等。而就在星期二稍早前,Lapsus$ 於自家爆料網站及 Telegram 群組宣布成功入侵 Microsoft,從擷取的畫面可見,他們似乎已取得對方的 Bing、Bing Maps 及 Cortana 原始碼,並已發放出近 37GB 竊取的內容。
Microsoft 方面已承認被入侵事件,但就強調公司應用服務的網絡安全性並非建基於程式碼的機密性,而是從整體層面考量,因此相關源始碼外洩並不會影響產品的安全度,又強調外洩數據不包含任何客戶資料。同一時間,Microsoft 亦公開了 Lapsus$ 集團的常用入侵手段,專家指集團主要依賴盜取受害機構員工的帳戶登入資料作為立足點,例如使用 Redline stealer 盜取設備或瀏覽器內儲存的資料、從地下討論區購入帳戶登入資料、利誘對方員工交出帳戶密碼及 MFA 驗證碼等。
當進入對方內部網絡,集團就會使用 AD Explorer 搜尋有更高權限的帳戶,並配合其他已知漏洞去提升帳戶權限,以此取得受害機構寄存於 GitLab、GitHub 或 Azure DevIos 上的程式庫。為了減少被追捕的風險,Lapsus$ 的成員會利用 NordVPN 等服務跳轉上網位址。要防範這種入侵,Microsoft 專家認為企業必須強化各種驗證技術,例如引入 MFA、VPN 登入驗證,提升員工的安全意識,以及建立更健康及可信的端點偵測。
相關文章:【有改善空間】2/3被攻擊企業因不良安全政策及設定遇害
https://www.wepro180.com/ibm210922/