Microsoft, çalışanlarından birinin LAPSUS $ HACKING GRUBU'su tarafından tehlikeye girdiğini, tehdit aktörlerinin kaynak kodlarının bölümlerini erişimine ve çalmasını sağladığını doğruladı.
Dün gece, LAPSUS $ çete, Microsoft'un Azure DevOps sunucusundan çalınan 37GB kaynak kodunu serbest bıraktı. Kaynak kodu, Bing, Cortana ve Bing haritaları dahil olmak üzere çeşitli iç Microsoft projeleri içindir.
Bu gece yayınlanan yeni bir blog yazında, Microsoft, çalışanlarının hesaplarından birinin LAPSUS $ tarafından tehlikeye girdiğini, kaynak kod depolarına sınırlı erişim sağladığını doğruladı.
"Gözlemlenen faaliyetlerde hiçbir müşteri kodu veya veri katılmadı. Soruşturmamız, sınırlı erişim sağlayan tek bir hesap buldu. Lapsus $ tehdit aktörleri hakkında.
"Microsoft, bir güvenlik önlemi olarak kodun gizliliğine güvenmiyor ve kaynak kodu görüntüleme riskinin yükselmesine yol açmaz. Bu izinsizliğinde kullanılan taktikler dev-0537, bu blogda tartışılan taktikleri ve teknikleri yansıtır."
"Ekibimiz, aktörün izinsiz girişimlerini açıkladığı zaman tehdit istihbaratına dayanan tehlikeli hesabı araştırıyordu. Bu kamuya açıklama, ekibimizin aktörün orta operasyonunu ortadan kaldırmasına ve daha geniş etkiyi sınırlandırmasına izin veren eylemimizi arttırdı."
Microsoft, hesabın nasıl tehlikeye girdiğini paylaşmamış olsa da, LAPSSUS çetesinin taktikleri, teknikleri ve prosedürleri (TTPS) birden fazla saldırıda genel bir bakış sağladılar.
Microsoft, LAPSUS $ veri gazı grubunu 'dev-0537' olarak takip ediyor ve öncelikle kurumsal ağlara ilk erişim için ödün vermeyen kimlik bilgilerini almaya odaklandığını söylüyor.
Bu kimlik bilgileri aşağıdaki yöntemler kullanılarak elde edilir:
Redline Şifre Stiler, kimlik bilgilerini çalmak için tercih edilen kötü amaçlı yazılım haline gelmiştir ve genellikle kimlik avı e-postaları, sulama delikleri, Warez bölgeleri ve Youtube videolarıyla dağıtılır.
Laspsus $, ödün verilen kimlik bilgilerine erişim kazandıktan sonra, bir şirketin kamusal yüzlü cihazlara ve sistemleri, VPN'ler, sanal masaüstü altyapısı veya Ocak ayında ihlal ettikleri Okta gibi kimlik yönetimi hizmetleri dahil olmak üzere oturum açmak için kullanırlar.
Microsoft, MFA'yı kullanan veya kullanıcı onlardan bıkana kadar MFA bildirimlerini sürekli tetikleyen ve kullanıcının oturum açmaya izin verildiğini onaylayan hesaplamaları sürekli tetiklediklerini söylüyor.
Microsoft, en az bir saldırıda, LAPSUS $, bir hesaba giriş yapmak için gereken MFA kodlarına erişmek için kullanıcının telefon numaralarını ve SMS metinlerini kontrol etmek için SIM takas saldırısı yaptığını söylüyor.
Bir ağa erişim kazandıktan sonra, tehdit aktörleri, daha yüksek ayrıcalıklara sahip hesapları bulmak ve daha sonra diğer kimlik bilgilerinin çalındığı SharePoint, Confluence, JIRA, Slack ve Microsoft ekipleri gibi gelişme ve işbirliği platformlarını bulmak için AD Explorer'ı kullanır.
Hack Group ayrıca, Microsoft'a yapılan saldırı ile gördüğümüz gibi, Gitlab, Github ve Azure DevOps'taki kaynak kod depolarına erişmek için bu kimlik bilgilerini kullanır.
Microsoft, "DEV-0537, Confluence, Jira ve Gitlab'daki güvenlik açıklarının imtiyaz yaralanması için kullanıldığı bilinmektedir" dedi. Microsoft, raporlarında açıklanmaktadır.
"Grup, ayrıcalıklı bir hesabın kimlik bilgilerini almak için bu uygulamaları çalıştıran sunucuları tehlikeye atar veya söz konusu hesap bağlamında çalıştırılır ve oradan kimlik bilgilerini doldurun."
Tehdit aktörleri daha sonra değerli verileri hasat edecek ve Mağdurların altyapısına, olay müdahale prosedürlerini tetiklemek için yıkıcı saldırılar yaparken yerlerini gizlemek için Nordvpn bağlantıları üzerinden exfiltrate edecektir.
Tehdit aktörleri daha sonra bu prosedürleri mağdurun gevşekliği veya Microsoft ekipleri kanallarıyla izler.
Microsoft, kurumsal kuruluşların, LAPSUS $ gibi tehdit aktörlerine karşı korumak için aşağıdaki adımları göstermesini önerir:
LAPSUS $ Son zamanlarda NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre ve şimdi Microsoft'a karşı olanlar da dahil olmak üzere işletmeye karşı sayısız saldırı yapmıştır.
Bu nedenle, güvenlik ve ağ yöneticilerinin, Microsoft'un raporunu okuyarak bu grup tarafından kullanılan taktikleri aşina olmaları şiddetle tavsiye edilir.
Lapsus $ bilgisayar korsanları 37GB Microsoft'un iddia edilen kaynak kodunu sızdırmaz
Microsoft, hacklenmiş kaynak kod depolarının iddialarını araştırıyor
GPU Giant Nvidia, potansiyel bir ciberattack'ı araştırıyor
NVIDIA Veri 71.000'den fazla çalışanın açıkça kimlik bilgilerini ihlal etti
Hacker'lar NVIDIA'ya: Madencilik kapağını kaldırın veya donanım verilerini sızdırıyoruz
Kaynak: Bleeping Computer