微软和Okta确认LAPSUS$敲诈勒索集团违规

微软周二证实，专注于勒索的黑客团队获得了对其系统的“有限访问权”，因为认证服务提供商Okta透露，近2.5%的客户在该安全漏洞发生后受到了潜在影响。

微软的威胁情报中心（MSTIC）表示：“观察到的活动中没有涉及任何客户代码或数据。”并补充说，该漏洞是通过一个已被泄露的账户促成的，该账户已被修复，以防止进一步的恶意活动。

在公开披露之前，这家Windows制造商已经在跟踪这个名为DEV-0537的组织，称其“不依赖代码保密作为安全措施，查看源代码不会导致风险升高”

该公司的安全团队指出：“这一公开披露升级了我们的行动，允许我们的团队在运营中干预和中断演员，限制了更广泛的影响。”。

身份和访问管理公司Okta也通过一名为第三方提供商工作的客户支持工程师的账户承认了这一违规行为，该公司表示，攻击者在1月16日至21日的五天时间内可以访问工程师的笔记本电脑，但服务本身没有受到损害。

这家总部位于旧金山的云软件公司还表示，已经确定了受影响的客户，并正在直接与他们联系，强调“Okta服务已全面运行，我们的客户不需要采取任何纠正措施。”

网络基础设施公司Cloudflare在对该事件的事后分析中表示：“在Okta妥协案中，仅仅更改用户密码是不够的。”。“攻击者还需要更改为同一用户配置的硬件（FIDO）令牌。因此，根据相关的硬件密钥很容易发现受损的帐户。”

尽管如此，特别令人担忧的是，Okta在两个月内没有公开披露违规行为，这促使该网络犯罪组织问“为什么要等这么久？”在其反声明中。

LAPSUS$在其反驳中还声称Okta在Slack中存储亚马逊网络服务（AWS）密钥，支持工程师似乎“过度访问”了通信平台。“对Okta客户的潜在影响并不仅限于此，我敢肯定重置密码和MFA会导致许多客户的系统完全受损，”该团伙详细解释道。

微软揭露LAPSUS$的策略

LAPSUS $，这是首次出现在2021年7月，在最近几个月的一次黑客狂欢中，瞄准了一段时间内的公司，包括IMPASA、巴西卫生部、Claro、巴西航空公司、NVIDIA、三星、MelCADO Reale、沃达丰和最近的育碧公司。

这个有经济动机的组织的作案手法相对简单：闯入目标公司的网络，窃取敏感数据，并通过在其电报频道上公布被盗数据的片段来勒索受害公司赔钱。

微软将LAPSUS$描述为一个遵循“不部署勒索软件有效载荷的纯粹勒索和破坏模式”的群体，以及一个“似乎没有掩盖其踪迹”的群体

机组人员采用的其他策略包括基于手机的社会工程方案，如SIM卡交换以促进账户接管，访问目标组织员工的个人电子邮件账户，贿赂员工、供应商或公司的业务合作伙伴以获取访问权限，以及侵入目标公司正在进行的危机响应电话以发起敲诈勒索要求。

据观察，LAPSUS$还部署了可在地下论坛上出售的红线窃取者，以获取密码和会话令牌，此外还可以从黑暗的网络市场购买凭据和访问令牌，以及搜索公开代码存储库以获取公开的凭据，以获得初始立足点。

该公司表示：“DEV-0537 actors的目标是通过被盗的凭证获得更高的访问权限，使数据被盗，并对目标组织进行破坏性攻击，通常会导致敲诈勒索。”。“战术和目标表明，这是一个以盗窃和破坏为动机的网络犯罪行为体。”

在初始访问之后，已知该集团会利用内部可访问的Confluence、JIRA和GitLab服务器上未修补的漏洞进行权限升级，然后继续过滤相关信息并删除目标的系统和资源。

为了缓解此类事件，微软建议各组织强制要求进行多因素身份验证（但不基于SMS），利用OAuth或SAML等现代身份验证选项，检查个人登录是否存在异常活动的迹象，并监控未经授权的参与者的事件响应通信。

“根据观察到的活动，该组织了解现代技术生态系统中身份和信任关系的相互关联性质，并以电信、技术、IT服务和支持公司为目标–；利用他们从一个组织获得的访问权来访问合作伙伴或供应商组织，”微软详细说明。

在泄漏的余波中，LAPSUS$似乎正在休息。“我们的一些成员在2022年3月30日之前都有假期。我们可能会安静一段时间，”该组织在其电报频道上说。