Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • Lavora con noi
    • Bibliografie hacker
  • CyT per il sociale
  • Contatti
  • CyberNews

Microsoft conferma la violazione
dal gruppo di estorsione Lapsus$

Microsoft conferma la violazione
dal gruppo di estorsione Lapsus$

da Maurizio / martedì, 22 Marzo 2022 / Pubblicato il Cyber Security, HACKER

Microsoft ha confermato che uno dei suoi dipendenti è stato compromesso dal gruppo di hacking Lapsus$, consentendo agli attori delle minacce di accedere e rubare parti del loro codice sorgente.

Ieri sera, la banda Lapsus$ ha rilasciato 37 GB di codice sorgente rubato dal server Azure DevOps di Microsoft. Il codice sorgente è destinato a vari progetti Microsoft interni, tra cui Bing, Cortana e Bing Maps.

Progetti di codice sorgente trapelati

In un nuovo post sul blog pubblicato stasera, Microsoft ha confermato che uno degli account dei propri dipendenti è stato compromesso da Lapsus$, fornendo un accesso limitato ai repository del codice sorgente. “Nessun codice cliente o dato è stato coinvolto nelle attività osservate. La nostra indagine ha rilevato che un singolo account era stato compromesso, concedendo un accesso limitato.

I nostri team di risposta alla sicurezza informatica si sono rapidamente impegnati per correggere l’account compromesso e prevenire ulteriori attività”, ha spiegato Microsoft in un advisory sugli attori delle minacce Lapsus$. “Microsoft non fa affidamento sulla segretezza del codice come misura di sicurezza e la visualizzazione del codice sorgente non porta ad un aumento del rischio. Le tattiche UTILIZZATE DA DEV-0537 in questa intrusione riflettono le tattiche e le tecniche discusse in questo blog.

“Il nostro team stava già indagando sull’account compromesso sulla base dell’intelligence sulle minacce quando l’attore ha rivelato pubblicamente la propria intrusione. Questa divulgazione pubblica ha intensificato la nostra azione consentendo al nostro team di intervenire e interrompere l’attore a metà operazione, limitando un impatto più ampio”.

Sebbene Microsoft non abbia condiviso il modo in cui l’account è stato compromesso, ha fornito una panoramica generale delle tattiche, delle tecniche e delle procedure (TTP) della banda Lapsus osservate in più attacchi.

Concentrarsi sulle credenziali compromesse

Microsoft sta monitorando il gruppo di estorsione dei dati Lapsus$ come “DEV-0537” e afferma che si concentrano principalmente sull’ottenimento di credenziali compromesse per l’accesso iniziale alle reti aziendali.

Queste credenziali vengono ottenute utilizzando i seguenti metodi:

  • Distribuzione di Redline password stealer dannoso per ottenere password e token di sessione
  • Acquisto di credenziali e token di sessione su forum criminali nel dark web
  • Pagamento dei dipendenti di organizzazioni mirate (o fornitori/partner commerciali) per l’accesso alle credenziali e l’approvazione dell’autenticazione a più fattori (MFA)
  • Ricerca di credenziali esposte nei repository di codice pubblico

Redline password stealer è diventato il malware di scelta per rubare le credenziali ed è comunemente distribuito attraverso e-mail di phishing,  watering holes, siti warez e video di YouTube.

Una volta che Laspsus$ ottiene l’accesso alle credenziali compromesse, lo utilizza per accedere ai dispositivi e ai sistemi pubblici di un’azienda, tra cui VPN, infrastruttura desktop virtuale o servizi di gestione delle identità, come Okta, che hanno violato a gennaio.

Microsoft afferma di utilizzare attacchi di session replay per gli account che utilizzano MFA o attivano continuamente notifiche MFA fino a quando l’utente non si stanca confermando l’autorizzazione ad accedere. Microsoft afferma che in almeno un attacco, Lapsus$ ha eseguito un attacco di scambio SIM per ottenere il controllo dei numeri di telefono e dei messaggi SMS dell’utente per ottenere l’accesso ai codici MFA necessari per accedere a un account.

Una volta ottenuto l’accesso a una rete, gli attori delle minacce utilizzano AD Explorer per trovare account con privilegi più elevati e quindi scegliere come target piattaforme di sviluppo e collaborazione, come SharePoint, Confluence, JIRA, Slack e Microsoft Teams, in cui vengono rubate altre credenziali.

Il gruppo di hacking usa anche queste credenziali per ottenere l’accesso ai repository del codice sorgente su GitLab, GitHub e Azure DevOps, come abbiamo visto con l’attacco a Microsoft.

“DEV-0537 è anche noto per sfruttare le vulnerabilità in Confluence, JIRA e GitLab per l’escalation dei privilegi”, spiega Microsoft nel loro rapporto.

“Il gruppo ha compromesso i server che eseguono queste applicazioni per ottenere le credenziali di un account privilegiato o eseguire nel contesto di detto account e scaricare le credenziali da lì.” Gli attori delle minacce raccoglieranno quindi dati preziosi e li esfiltrano sulle connessioni NordVPN per nascondere le loro attività mentre eseguono attacchi distruttivi all’infrastruttura delle vittime per attivare le conseguenti procedure di incident response.

Gli attori delle minacce monitorano quindi queste procedure attraverso i canali Slack o Microsoft Teams della vittima.

Protezione contro Lapsus$

Microsoft consiglia alle aziende di eseguire i passaggi seguenti per proteggersi da attori di minacce come Lapsus$:

  • Rafforzare l’implementazione dei sistemi di MFA
  • Utilizzo di endpoint integri e attendibili
  • Sfruttare le opzioni di autenticazione moderne per le VPN (MFA)
  • Rafforzare e monitorare il livello di sicurezza del cloud
  • Migliorare la consapevolezza degli attacchi di social engineering
  • Stabilire processi di sicurezza operativi in risposta alle intrusioni DEV-0537

Lapsus$ ha recentemente condotto numerosi attacchi contro l’azienda, compresi quelli contro NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre e ora Microsoft.

Pertanto, si consiglia vivamente agli amministratori di sicurezza e di rete di acquisire familiarità con le tattiche utilizzate da questo gruppo leggendo il rapporto di Microsoft.

Maurizio

Problem Solver e Cyber Security Advisor, si occupa di sicurezza informatica e di Ethical Hacking da oltre 20 anni.

Da diversi anni tiene corsi di Ethical Hacking e consapevolezza della sicurezza informatica formando centinaia di persone nell’IT e migliaia di risorse aziendali.

Tre caratteristiche che lo distinguono:

La passione/ossessione per le password
Ha chiamato Hash anche il suo gatto
Il papillon

Colore preferito? Verde, ovviamente!

Condividi
Taggato in: credenziali, CYBERATTACK, Data Breach, furto credenziali, Lapsus$, Microsoft

Che altro puoi leggere

Come mitigare gli attacchi di Active Directory
che usano il toolset di KrbRelayUp
Twitch leaked:
trafugato tutto il codice sorgente della piattaforma
Log4j
una minaccia significativa

Categorie

  • Analisi Tecnica
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking

Articoli recenti

  • password intelligence

    Controllo di sicurezza: 13.000 password del governo USA violate in 90 minuti

    Poiché i dipendenti del Dipartimento degli Inte...
  • Fuga di dati: circola un database con 235 milioni di account Twitter

    Dopo che a dicembre è stato messo in vendita un...
  • Codice dannoso su PyPI: attacco alla catena di distribuzione delle build notturne di PyTorch

    Chi ha recentemente installato PyTorch-nightly ...
  • Il ransomware Magniber ora infetta gli utenti Windows
    tramite file JavaScript

    Una recente campagna dannosa che ha distribuito...
  • GIFShell – Nuovo attacco che consente agli aggressori di rubare
    i dati utilizzando una GIF dentro Microsoft Teams

    Una nuova tecnica di attacco chiamata “GIFShell...
  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY POLICY

TORNA SU
  • Sei sotto attacco?