微軟承認被黑客竊取資料

來源：時尚冬閱讀: 9.88K 次

小中大

字號：

用手機掃描二維碼在手機上繼續觀看

手機檢視

微軟承認被黑客竊取資料，黑客組織Lapsus$聲稱曾入侵過英偉達、三星等公司，本週又表示入侵了微軟。微軟堅稱，洩露的程式碼還沒有嚴重到導致風險上升的程度，微軟承認被黑客竊取資料。

微軟承認被黑客竊取資料1

美國當地時間週二，微軟釋出博文證實，經過調查後發現，該公司產品的部分原始碼被黑客竊取，並披露了發動襲擊的黑客組織的老底。

微軟在博文中稱，此次黑客襲擊由名為DEV-0537的黑客組織發動，它也被稱為Lapsus$。該組織以使用純粹的勒索和破壞模型而聞名，而不是部署勒索軟體。Dev-0537開始以英國和南美公司為目標，後來擴充套件到全球目標。同時，該組織還會侵入虛擬貨幣交易所的個人使用者賬戶，以竊取虛擬貨幣。

與大多數黑客組織不同的是，DEV-0537似乎沒有掩蓋自己的蹤跡。

他們甚至公開宣揚自己對社交媒體發動攻擊，以及從目標公司員工那裡購買憑證等內幕。Dev-0537還使用了微軟所追蹤其他黑客較少使用的幾種策略，包括基於電話的社交工程（Social Engineering），比如SIM交換以促進帳戶接管、訪問目標公司員工的個人電子郵件帳戶、向目標公司的員工、供應商或業務合作伙伴付錢以獲得訪問憑證和多因素身份驗證(MFA)批准的許可權等。

DEV-0537的黑客專注於他們的社交工程努力，以收集關於襲擊目標的商業運營資訊。這些資訊包括有關終端使用者、團隊結構、幫助臺、危機應對工作流程和供應鏈關係的深入知識。這些社交工程策略的例子包括用多因素身份驗證(MFA)提示向目標使用者傳送垃圾郵件，以及致電公司的幫助臺以重置目標的憑證。

微軟威脅情報中心(MSTIC)評估稱，DEV-0537黑客的目標是通過被盜憑證獲得更高的訪問許可權，這些憑證允許其針對目標公司進行資料盜竊和破壞性攻擊，然後進行敲詐勒索。戰術和目標表明，DEV-0537是個以竊取和破壞為動機的網路犯罪組織。

微軟發現，在某些情況下，DEV-0537首先瞄準並侵入個人或私人(與工作無關)帳戶，允許他們訪問，然後尋找可用於訪問公司系統的其他憑證。鑑於員工通常使用這些個人帳戶進行他們的第二因素身份驗證或密碼恢復，DEV-0537黑客經常使用這種方法來重置密碼，並完成帳戶恢復操作。

微軟還發現，DEV-0537通過招聘目標公司(或其供應商、業務合作伙伴)員工成功地獲得訪問許可權。該組織釋出廣告稱，他們想為襲擊目標公司購買憑證，以此吸引員工或承包商參與其中。自願參與的共犯必須提供他們的憑證並批准MFA，或者讓在公司工作站上安裝AnyDesk或其他遠端管理軟體，從而允許黑客控制經過身份驗證的系統。

當DEV-0537使用被攻破的帳戶獲得對目標公司網路的訪問許可權後，他們就會使用多種策略來發現其他憑證或入侵點來擴充套件其訪問許可權。然後，他們繼續搜尋SharePoint或Confluence這樣的協作平臺，像JIRA這樣的問題跟蹤解決方案，像GitLab和GitHub這樣的程式碼庫，以及像Team或Slack這樣的辦公協作渠道，以進一步發現訪問其他敏感資訊的高許可權帳戶憑證。

Dev-0537還會利用Confluence、JIRA和GitLab中的漏洞進行許可權提升。該組織危害了執行這些應用程式的伺服器，以獲取特權帳戶的憑證或在所述帳戶中執行，並從那裡轉儲憑證。獲得域管理員訪問許可權或同等訪問許可權後，Dev-0537會使用內建的Ntdsutil實用程式提取AD資料庫。

在某些情況下，DEV-0537甚至致電目標公司的服務檯，試圖說服支援人員重置特權帳戶的憑證。該組織會使用之前收集的資訊(例如個人資料)，並讓母語為英語的呼叫者與服務檯人員交談，以增強其社交工程的吸引力。由於許多公司將他們的服務檯支援外包，這種策略試圖利用這些供應鏈關係，特別是在公司賦予服務檯人員提升特權能力的情況下。

微軟發現，DEV-0537擁有專用的基礎設施，他們在已知的虛擬專用伺服器(VPS)提供商中執行，並利用NordVP N作為其出口點。

如果成功獲得了對目標組織雲服務(AWS或Azure)的特權訪問許可權，DEV-0537會在組織的雲實例中建立全域性管理員帳戶，設定Office 365使用者級別的郵件傳輸規則，將所有進出公司的郵件傳送到新建立的帳戶，然後刪除所有其他全域性管理員帳戶，因此只有黑客才能控制雲資源，從而有效地將公司鎖定在所有訪問之外。

同時，DEV-0537黑客還會加入目標公司的危機溝通電話會議和內部討論板(Slack和Teams等)，瞭解事件響應工作流程及其對策，這為DEV-0537提供了對入侵目標心理狀態的洞察，以便發起敲詐勒索。在某些情況下，DEV-0537勒索受害者以防止被盜資料洩露。其他時候，即使沒有進行敲詐勒索，DEV-0537也公開洩露了他們竊取的資料。

本週，DEV-0537公開聲稱，他們已經獲得了微軟的訪問許可權，並洩露了部分產品的原始碼。微軟表示，洩露的資料沒有涉及客戶程式碼，而且只有一個賬戶被攻破，讓黑客獲得了有限的訪問許可權。微軟網路安全響應團隊迅速介入，修復了受攻擊的帳戶並防止進一步的黑客攻擊。

微軟表示，該公司不依賴程式碼的保密性作為安全防護措施，檢視其原始碼不會導致風險上升。在這次入侵中，DEV-0537就使用了上述戰術。當黑客公開披露他們的入侵行動時，微軟的團隊已經在根據威脅情報調查被洩露的賬戶。黑客的公開披露使微軟的行動升級，允許團隊在操作過程中進行干預和中斷，限制了更廣泛的襲擊影響。

為了避免受到類似黑客襲擊影響，微軟建議加強實施多因素身份驗證(MFA)。雖然DEV-0537依然試圖找出MFA的漏洞，但它仍然是確保員工、供應商和其他人員身份安全的關鍵支柱。此外，微軟建議使用者使用可信、合規且健康的裝置訪問資源，加強並監控雲服務安全，提高對社交工程攻擊的認識，並建立應對DEV-0537入侵的運營安全流程。

微軟承認被黑客竊取資料2

據鳳凰網科技訊息，微軟公司在週二晚間證實，經過調查後發現，一些公司產品的部分原始碼被黑客盜取。

黑客組織Lapsus$聲稱曾入侵過英偉達、三星等公司，本週又表示入侵了微軟。Lapsus$釋出了一份檔案，稱其中一個容量近37GB的資料存檔中包含了必應和語音助手“小娜”(Cortana)的部分原始碼。

微軟將Lapsus$稱之為DEV-0537，表示它入侵了“一個單一賬戶”，並竊取了部分產品的原始碼。微軟安全網站上的一篇博文稱，微軟調查人員已經跟蹤Lapsus$組織有數週時間，並詳細介紹了他們用來破壞受害者系統的一些方法。微軟堅稱，洩露的程式碼還沒有嚴重到導致風險上升的程度，其響應團隊在應對過程中將黑客拒之門外。

早些時候，Lapsus$團伙在他們的Telegram頻道上釋出了一張截圖，表示他們入侵了微軟Azure DevOps伺服器，其中包含Bing、Cortana和其他各種內部專案的原始碼。

週一晚上，這個黑客組織釋出了一份9gb 7zip壓縮包的種子檔案，其中包含了他們聲稱屬於微軟的250多個專案的原始碼。相關關人士稱，這個未壓縮的存檔檔案大約有37GB。

Lapsus$說它包含了90%的Bing原始碼，大約45%的Bing Maps和Cortana程式碼。

Lapsus$是一個數據勒索黑客組織，他們不會在受害者的裝置上安裝勒索軟體。但是他們通過破壞公司系統，竊取原始碼、客戶名單、資料庫和其他有價值的資料。然後，他們試圖以贖金勒索受害者，要求不公開洩露資料。

在過去的幾個月裡，Lapsus$已經披露了大量針對大公司的網路攻擊，其中包括已證實的針對英偉達、三星、沃達豐(Vodafone)、知名遊戲廠商育碧（Ubisoft）和線上商務平臺Mercado Libre的網路攻擊。

與此同時，不久前，黑客組織Lapsus$在其Telegram頻道上釋出了自稱是Okta內部系統的截圖，其中一張似乎顯示了Okta的Slack頻道。Okta 是一家為數千家公司和組織提供雙重身份驗證的'公司，包括 JetBlue、Nordstrom、Siemens、Slack 和 Teach for America。如果確實攻擊成功，將對依賴Okta來驗證使用者訪問內部系統的公司、大學和政府機構產生重大影響。

目前還不清楚威脅行為者是如何侵入這些儲存庫的，但一些安全研究人員認為，他們付錢給企業內部人士以獲取訪問許可權。

微軟表示，他們正在調查Lapsus資料勒索黑客組織入侵其內部Azure DevOps原始碼庫並竊取資料的指控。

雖然原始碼洩露讓公司軟體漏洞更容易被發現，但微軟之前曾表示，原始碼洩露並不會增加風險。

微軟表示，他們的威脅模型假設，無論是通過逆向工程還是之前的原始碼洩漏，威脅參與者已經瞭解了他們的軟體是如何工作的。