首页 > 安全 > 正文

它的官方,Lapsus $ Gang损失了Microsoft员工帐户

最后更新 :2022.03.23

微软证实,Lapsus $ refaligess集团已攻击其中一名员工以访问和窃取一些项目的源代码。一些项目的源代码。

昨天从Microsofts&NBSP泄露了37GB的源代码; Azure Devops服务器。

在星期日,Lapsus $ Gang宣布损害了Microsoft的Azure DevOps服务器并共享了所谓的内部源代码的屏幕截图储存库。

 帮派声称泄露了一些Microsoft项目的源代码,包括Bing和Nbsp; Cortana。

在3月22日,2022年的夜晚分享了一个7zip存档的洪流包含9 GB的Microsoft源代码。未压缩的存档包含37GB源代码,据称属于数百个Microsoft项目,包括Bing,Corta攻击者损失了其一个员工的帐户,获得有限地访问源代码存储库。该公司指出,由于未经授权的访问,客户代码或数据不会受到损害。

本周,演员使他们已获得对Microsoft和Exftrated部分的源代码的访问权限。没有客户代码或数据涉及观察到的活动。我们的调查发现,单个账户已受到损害,授予有限的访问权限。我们的网络安全响应小组迅速订婚,以修复受损账户并防止进一步的活动。阅读Microsoft发布的帖子。微软不依赖于代码的保密,作为安全措施,查看源代码不会导致风险的提升。

微软团队立即启动了调查er the lapsus $ gang,由公司作为dev-0537追踪,声称已攻击该公司。
Microsofts Post详细介绍了Lapsus团伙战术,技术和程序(TTP),下面是他们用于危及用户身份来获得对组织的初始访问的一些方法:部署恶意红线密码窃取器以获取有针对性组织(或供应商/业务合作伙伴)的犯罪地下论坛编制员工的密码和会话,以获取有针对性组织(或供应商/业务合作伙伴)的员工,以访问凭据和MFA批准公开凭据的公共代码存储库
威胁演员使用受损凭据和/或会话令牌通过互联网的系统和应用程序访问目标网络(即虚拟专用网络(VPN),远程桌面协议(RDP),虚拟桌面基础架构(VDI),包括Citrix或Identity提供程序(包括Azure Active Directory),okt.一种))。 Gang还使用会话重放攻击来危及使用MFA保护的帐户,在某些情况下,它们也连续触发MFA通知,直到用户允许它们登录。在至少一个攻击中,该组还使用了SIM交换攻击来旁路2FA。
一旦DEV-0537使用受损帐户获得对目标网络的访问,它们使用多个策略来发现额外的凭证或入侵点以扩展其访问,包括:
在内部可访问的服务器上利用未分割的漏洞,包括JIRA,Gitlab和Confluence搜索代码存储库和协作平台,用于公开凭据和秘密。在所述网络中。继续分析。
LAPSUS $ GANK在已知的虚拟专用服务器(VPS)提供商中设置专用基础架构利用NordVPN使用在地理上的VPN出口点来实现数据exfiltration,以避免检测。来自目标组织的数据也用于未来的敲诈勒索或公开发布。您的云安全渡天部门对社会工程攻击的认识是为了响应DEV-0537入侵Microsoft data leak在过去的几个月中,LAPSUS $ GAND损失了其他着名公司,如  NVIDIA, 三星,  Ubisoft,Mercado Libre和 沃达丰。
该集团于3月10日星期四宣布,他们开始在主要技术巨头和ISP中招聘雇用的内部人,这些公司包括微软,苹果,EA游戏和IBM。他们的范围O.F乐趣包括 - 克罗罗,Telefonica和AT&amp等主要电信公司支付授予的访问。

- END -

看更多