3月23日消息,美國(guó)當(dāng)?shù)貢r(shí)間周二,微軟發(fā)布博文證實(shí),經(jīng)過(guò)調(diào)查后發(fā)現(xiàn),該公司產(chǎn)品的部分源代碼被黑客竊取,并披露了發(fā)動(dòng)襲擊的黑客組織的老底。
微軟在博文中稱(chēng),此次黑客襲擊由名為DEV-0537的黑客組織發(fā)動(dòng),它也被稱(chēng)為L(zhǎng)apsus$。該組織以使用純粹的勒索和破壞模型而聞名,而不是部署勒索軟件。Dev-0537開(kāi)始以英國(guó)和南美公司為目標(biāo),后來(lái)擴(kuò)展到全球目標(biāo)。同時(shí),該組織還會(huì)侵入加密貨幣交易所的個(gè)人用戶賬戶,以竊取加密貨幣。
與大多數(shù)黑客組織不同的是,DEV-0537似乎沒(méi)有掩蓋自己的蹤跡。他們甚至公開(kāi)宣揚(yáng)自己對(duì)社交媒體發(fā)動(dòng)攻擊,以及從目標(biāo)公司員工那里購(gòu)買(mǎi)憑證等內(nèi)幕。Dev-0537還使用了微軟所追蹤其他黑客較少使用的幾種策略,包括基于電話的社交工程(Social Engineering),比如SIM交換以促進(jìn)帳戶接管、訪問(wèn)目標(biāo)公司員工的個(gè)人電子郵件帳戶、向目標(biāo)公司的員工、供應(yīng)商或業(yè)務(wù)合作伙伴付錢(qián)以獲得訪問(wèn)憑證和多因素身份驗(yàn)證(MFA)批準(zhǔn)的權(quán)限等。
DEV-0537的黑客專(zhuān)注于他們的社交工程努力,以收集關(guān)于襲擊目標(biāo)的商業(yè)運(yùn)營(yíng)信息。這些信息包括有關(guān)最終用戶、團(tuán)隊(duì)結(jié)構(gòu)、幫助臺(tái)、危機(jī)應(yīng)對(duì)工作流程和供應(yīng)鏈關(guān)系的深入知識(shí)。這些社交工程策略的例子包括用多因素身份驗(yàn)證(MFA)提示向目標(biāo)用戶發(fā)送垃圾郵件,以及致電公司的幫助臺(tái)以重置目標(biāo)的憑證。
微軟威脅情報(bào)中心(MSTIC)評(píng)估稱(chēng),DEV-0537黑客的目標(biāo)是通過(guò)被盜憑證獲得更高的訪問(wèn)權(quán)限,這些憑證允許其針對(duì)目標(biāo)公司進(jìn)行數(shù)據(jù)盜竊和破壞性攻擊,然后進(jìn)行敲詐勒索。戰(zhàn)術(shù)和目標(biāo)表明,DEV-0537是個(gè)以竊取和破壞為動(dòng)機(jī)的網(wǎng)絡(luò)犯罪組織。
微軟發(fā)現(xiàn),在某些情況下,DEV-0537首先瞄準(zhǔn)并侵入個(gè)人或私人(與工作無(wú)關(guān))帳戶,允許他們?cè)L問(wèn),然后尋找可用于訪問(wèn)公司系統(tǒng)的其他憑證。鑒于員工通常使用這些個(gè)人帳戶進(jìn)行他們的第二因素身份驗(yàn)證或密碼恢復(fù),DEV-0537黑客經(jīng)常使用這種方法來(lái)重置密碼,并完成帳戶恢復(fù)操作。
微軟還發(fā)現(xiàn),DEV-0537通過(guò)招聘目標(biāo)公司(或其供應(yīng)商、業(yè)務(wù)合作伙伴)員工成功地獲得訪問(wèn)權(quán)限。該組織發(fā)布廣告稱(chēng),他們想為襲擊目標(biāo)公司購(gòu)買(mǎi)憑證,以此吸引員工或承包商參與其中。自愿參與的共犯必須提供他們的憑證并批準(zhǔn)MFA,或者讓在公司工作站上安裝AnyDesk或其他遠(yuǎn)程管理軟件,從而允許黑客控制經(jīng)過(guò)身份驗(yàn)證的系統(tǒng)。
當(dāng)DEV-0537使用被攻破的帳戶獲得對(duì)目標(biāo)公司網(wǎng)絡(luò)的訪問(wèn)權(quán)限后,他們就會(huì)使用多種策略來(lái)發(fā)現(xiàn)其他憑證或入侵點(diǎn)來(lái)擴(kuò)展其訪問(wèn)權(quán)限。然后,他們繼續(xù)搜索SharePoint或Confluence這樣的協(xié)作平臺(tái),像JIRA這樣的問(wèn)題跟蹤解決方案,像GitLab和GitHub這樣的代碼庫(kù),以及像Team或Slack這樣的辦公協(xié)作渠道,以進(jìn)一步發(fā)現(xiàn)訪問(wèn)其他敏感信息的高權(quán)限帳戶憑證。
Dev-0537還會(huì)利用Confluence、JIRA和GitLab中的漏洞進(jìn)行權(quán)限提升。該組織危害了運(yùn)行這些應(yīng)用程序的服務(wù)器,以獲取特權(quán)帳戶的憑證或在所述帳戶中運(yùn)行,并從那里轉(zhuǎn)儲(chǔ)憑證。獲得域管理員訪問(wèn)權(quán)限或同等訪問(wèn)權(quán)限后,Dev-0537會(huì)使用內(nèi)置的Ntdsutil實(shí)用程序提取AD數(shù)據(jù)庫(kù)。
在某些情況下,DEV-0537甚至致電目標(biāo)公司的服務(wù)臺(tái),試圖說(shuō)服支持人員重置特權(quán)帳戶的憑證。該組織會(huì)使用之前收集的信息(例如個(gè)人資料),并讓母語(yǔ)為英語(yǔ)的呼叫者與服務(wù)臺(tái)人員交談,以增強(qiáng)其社交工程的吸引力。由于許多公司將他們的服務(wù)臺(tái)支持外包,這種策略試圖利用這些供應(yīng)鏈關(guān)系,特別是在公司賦予服務(wù)臺(tái)人員提升特權(quán)能力的情況下。
微軟發(fā)現(xiàn),DEV-0537擁有專(zhuān)用的基礎(chǔ)設(shè)施,他們?cè)谝阎奶摂M專(zhuān)用服務(wù)器(VPS)提供商中運(yùn)行,并利用NordVPN作為其出口點(diǎn)。
如果成功獲得了對(duì)目標(biāo)組織云服務(wù)(AWS或Azure)的特權(quán)訪問(wèn)權(quán)限,DEV-0537會(huì)在組織的云實(shí)例中創(chuàng)建全局管理員帳戶,設(shè)置Office 365用戶級(jí)別的郵件傳輸規(guī)則,將所有進(jìn)出公司的郵件發(fā)送到新創(chuàng)建的帳戶,然后刪除所有其他全局管理員帳戶,因此只有黑客才能控制云資源,從而有效地將公司鎖定在所有訪問(wèn)之外。
同時(shí),DEV-0537黑客還會(huì)加入目標(biāo)公司的危機(jī)溝通電話會(huì)議和內(nèi)部討論板(Slack和Teams等),了解事件響應(yīng)工作流程及其對(duì)策,這為DEV-0537提供了對(duì)入侵目標(biāo)心理狀態(tài)的洞察,以便發(fā)起敲詐勒索。在某些情況下,DEV-0537勒索受害者以防止被盜數(shù)據(jù)泄露。其他時(shí)候,即使沒(méi)有進(jìn)行敲詐勒索,DEV-0537也公開(kāi)泄露了他們竊取的數(shù)據(jù)。
本周,DEV-0537公開(kāi)聲稱(chēng),他們已經(jīng)獲得了微軟的訪問(wèn)權(quán)限,并泄露了部分產(chǎn)品的源代碼。微軟表示,泄露的數(shù)據(jù)沒(méi)有涉及客戶代碼,而且只有一個(gè)賬戶被攻破,讓黑客獲得了有限的訪問(wèn)權(quán)限。微軟網(wǎng)絡(luò)安全響應(yīng)團(tuán)隊(duì)迅速介入,修復(fù)了受攻擊的帳戶并防止進(jìn)一步的黑客攻擊。
微軟表示,該公司不依賴(lài)代碼的保密性作為安全防護(hù)措施,查看其源代碼不會(huì)導(dǎo)致風(fēng)險(xiǎn)上升。在這次入侵中,DEV-0537就使用了上述戰(zhàn)術(shù)。當(dāng)黑客公開(kāi)披露他們的入侵行動(dòng)時(shí),微軟的團(tuán)隊(duì)已經(jīng)在根據(jù)威脅情報(bào)調(diào)查被泄露的賬戶。黑客的公開(kāi)披露使微軟的行動(dòng)升級(jí),允許團(tuán)隊(duì)在操作過(guò)程中進(jìn)行干預(yù)和中斷,限制了更廣泛的襲擊影響。
為了避免受到類(lèi)似黑客襲擊影響,微軟建議加強(qiáng)實(shí)施多因素身份驗(yàn)證(MFA)。雖然DEV-0537依然試圖找出MFA的漏洞,但它仍然是確保員工、供應(yīng)商和其他人員身份安全的關(guān)鍵支柱。此外,微軟建議用戶使用可信、合規(guī)且健康的設(shè)備訪問(wèn)資源,加強(qiáng)并監(jiān)控云服務(wù)安全,提高對(duì)社交工程攻擊的認(rèn)識(shí),并建立應(yīng)對(duì)DEV-0537入侵的運(yùn)營(yíng)安全流程。(小小)
標(biāo)簽: 微軟承認(rèn) 黑客入侵 發(fā)動(dòng)襲擊 黑客組織