3月23日消息,美国当地时间周二,微软发布博文证实,经过调查后发现,该公司产品的部分源代码被黑客窃取,并披露了发动袭击的黑客组织的老底。
微软在博文中称,此次黑客袭击由名为DEV-0537的黑客组织发动,它也被称为Lapsus$。该组织以使用纯粹的勒索和破坏模型而闻名,而不是部署勒索软件。Dev-0537开始以英国和南美公司为目标,后来扩展到全球目标。同时,该组织还会侵入加密货币交易所的个人用户账户,以窃取加密货币。
与大多数黑客组织不同的是,DEV-0537似乎没有掩盖自己的踪迹。他们甚至公开宣扬自己对社交媒体发动攻击,以及从目标公司员工那里购买凭证等内幕。Dev-0537还使用了微软所追踪其他黑客较少使用的几种策略,包括基于电话的社交工程(Social Engineering),比如SIM交换以促进帐户接管、访问目标公司员工的个人电子邮件帐户、向目标公司的员工、供应商或业务合作伙伴付钱以获得访问凭证和多因素身份验证(MFA)批准的权限等。
DEV-0537的黑客专注于他们的社交工程努力,以收集关于袭击目标的商业运营信息。这些信息包括有关最终用户、团队结构、帮助台、危机应对工作流程和供应链关系的深入知识。这些社交工程策略的例子包括用多因素身份验证(MFA)提示向目标用户发送垃圾邮件,以及致电公司的帮助台以重置目标的凭证。
微软威胁情报中心(MSTIC)评估称,DEV-0537黑客的目标是通过被盗凭证获得更高的访问权限,这些凭证允许其针对目标公司进行数据盗窃和破坏性攻击,然后进行敲诈勒索。战术和目标表明,DEV-0537是个以窃取和破坏为动机的网络犯罪组织。
微软发现,在某些情况下,DEV-0537首先瞄准并侵入个人或私人(与工作无关)帐户,允许他们访问,然后寻找可用于访问公司系统的其他凭证。鉴于员工通常使用这些个人帐户进行他们的第二因素身份验证或密码恢复,DEV-0537黑客经常使用这种方法来重置密码,并完成帐户恢复操作。
微软还发现,DEV-0537通过招聘目标公司(或其供应商、业务合作伙伴)员工成功地获得访问权限。该组织发布广告称,他们想为袭击目标公司购买凭证,以此吸引员工或承包商参与其中。自愿参与的共犯必须提供他们的凭证并批准MFA,或者让在公司工作站上安装AnyDesk或其他远程管理软件,从而允许黑客控制经过身份验证的系统。
当DEV-0537使用被攻破的帐户获得对目标公司网络的访问权限后,他们就会使用多种策略来发现其他凭证或入侵点来扩展其访问权限。然后,他们继续搜索SharePoint或Confluence这样的协作平台,像JIRA这样的问题跟踪解决方案,像GitLab和GitHub这样的代码库,以及像Team或Slack这样的办公协作渠道,以进一步发现访问其他敏感信息的高权限帐户凭证。
Dev-0537还会利用Confluence、JIRA和GitLab中的漏洞进行权限提升。该组织危害了运行这些应用程序的服务器,以获取特权帐户的凭证或在所述帐户中运行,并从那里转储凭证。获得域管理员访问权限或同等访问权限后,Dev-0537会使用内置的Ntdsutil实用程序提取AD数据库。
在某些情况下,DEV-0537甚至致电目标公司的服务台,试图说服支持人员重置特权帐户的凭证。该组织会使用之前收集的信息(例如个人资料),并让母语为英语的呼叫者与服务台人员交谈,以增强其社交工程的吸引力。由于许多公司将他们的服务台支持外包,这种策略试图利用这些供应链关系,特别是在公司赋予服务台人员提升特权能力的情况下。
微软发现,DEV-0537拥有专用的基础设施,他们在已知的虚拟专用服务器(VPS)提供商中运行,并利用NordVPN作为其出口点。
如果成功获得了对目标组织云服务(AWS或Azure)的特权访问权限,DEV-0537会在组织的云实例中创建全局管理员帐户,设置Office 365用户级别的邮件传输规则,将所有进出公司的邮件发送到新创建的帐户,然后删除所有其他全局管理员帐户,因此只有黑客才能控制云资源,从而有效地将公司锁定在所有访问之外。
同时,DEV-0537黑客还会加入目标公司的危机沟通电话会议和内部讨论板(Slack和Teams等),了解事件响应工作流程及其对策,这为DEV-0537提供了对入侵目标心理状态的洞察,以便发起敲诈勒索。在某些情况下,DEV-0537勒索受害者以防止被盗数据泄露。其他时候,即使没有进行敲诈勒索,DEV-0537也公开泄露了他们窃取的数据。
本周,DEV-0537公开声称,他们已经获得了微软的访问权限,并泄露了部分产品的源代码。微软表示,泄露的数据没有涉及客户代码,而且只有一个账户被攻破,让黑客获得了有限的访问权限。微软网络安全响应团队迅速介入,修复了受攻击的帐户并防止进一步的黑客攻击。
微软表示,该公司不依赖代码的保密性作为安全防护措施,查看其源代码不会导致风险上升。在这次入侵中,DEV-0537就使用了上述战术。当黑客公开披露他们的入侵行动时,微软的团队已经在根据威胁情报调查被泄露的账户。黑客的公开披露使微软的行动升级,允许团队在操作过程中进行干预和中断,限制了更广泛的袭击影响。
为了避免受到类似黑客袭击影响,微软建议加强实施多因素身份验证(MFA)。虽然DEV-0537依然试图找出MFA的漏洞,但它仍然是确保员工、供应商和其他人员身份安全的关键支柱。此外,微软建议用户使用可信、合规且健康的设备访问资源,加强并监控云服务安全,提高对社交工程攻击的认识,并建立应对DEV-0537入侵的运营安全流程。