أكدت Microsoft أن أحد موظفيها تعرض للاختراق من قبل مجموعة Lapsus$ للتسلل، مما سمح لممثلي التهديد بالوصول إلى أجزاء من التعليمات البرمجية المصدر الخاصة بهم وسرقتها.
الليلة قبل الماضية، عصابة Lapsus$ أصدرت 37 جيجا بايت من كود المصدر المسروق من خادم Microsoft Azure DevOps. الكود المصدري مخصص للعديد من مشاريع Microsoft الداخلية، بما في ذلك Bing Maps و Cortana و Bing.
الليلة قبل الماضية، عصابة Lapsus$ أصدرت 37 جيجا بايت من كود المصدر المسروق من خادم Microsoft Azure DevOps. الكود المصدري مخصص للعديد من مشاريع Microsoft الداخلية، بما في ذلك Bing Maps و Cortana و Bing.
في منشور مدونة جديد نُشر ليلة أمس، أكدت Microsoft أن أحد حسابات موظفيها قد تعرض للاختراق بواسطة Lapsus$، مما يوفر وصولاً محدودًا إلى مستودعات رمز المصدر.
أوضحت شركة Microsoft في تقرير استشاري حول الجهات الفاعلة في تهديد Lapsus$: "لم يتم تضمين أي رمز أو بيانات للعميل في الأنشطة التي تمت مراقبتها. لقد وجد تحقيقنا أن حسابًا واحدًا قد تعرض للاختراق، مما منح وصولاً محدودًا. وقد انخرطت فرق استجابة الأمن السيبراني لدينا بسرعة لإصلاح الحساب المخترق ومنع المزيد من النشاط".
"لا تعتمد Microsoft على سرية التعليمات البرمجية كإجراء أمني ولا يؤدي عرض كود المصدر إلى زيادة المخاطر. تعكس التكتيكات DEV-0537 المستخدمة في هذا التطفل التكتيكات والتقنيات التي تمت مناقشتها في هذه المدونة".
"كان فريقنا يحقق بالفعل في الحساب المخترق استنادًا إلى معلومات التهديد عندما كشف الممثل علنًا عن تدخله. أدى هذا الكشف العلني إلى تصعيد عملنا مما سمح لفريقنا بالتدخل ومقاطعة الممثل في منتصف العملية، مما يحد من التأثير الأوسع".
على الرغم من أن Microsoft لم تشارك كيف تم اختراق الحساب، إلا أنها قدمت نظرة عامة على تكتيكات وتقنيات وإجراءات عصابة Lapsus التي تمت ملاحظتها عبر هجمات متعددة.
أوضحت شركة Microsoft في تقرير استشاري حول الجهات الفاعلة في تهديد Lapsus$: "لم يتم تضمين أي رمز أو بيانات للعميل في الأنشطة التي تمت مراقبتها. لقد وجد تحقيقنا أن حسابًا واحدًا قد تعرض للاختراق، مما منح وصولاً محدودًا. وقد انخرطت فرق استجابة الأمن السيبراني لدينا بسرعة لإصلاح الحساب المخترق ومنع المزيد من النشاط".
"لا تعتمد Microsoft على سرية التعليمات البرمجية كإجراء أمني ولا يؤدي عرض كود المصدر إلى زيادة المخاطر. تعكس التكتيكات DEV-0537 المستخدمة في هذا التطفل التكتيكات والتقنيات التي تمت مناقشتها في هذه المدونة".
"كان فريقنا يحقق بالفعل في الحساب المخترق استنادًا إلى معلومات التهديد عندما كشف الممثل علنًا عن تدخله. أدى هذا الكشف العلني إلى تصعيد عملنا مما سمح لفريقنا بالتدخل ومقاطعة الممثل في منتصف العملية، مما يحد من التأثير الأوسع".
على الرغم من أن Microsoft لم تشارك كيف تم اختراق الحساب، إلا أنها قدمت نظرة عامة على تكتيكات وتقنيات وإجراءات عصابة Lapsus التي تمت ملاحظتها عبر هجمات متعددة.
التركيز على أوراق الاعتماد المخترقة Focusing on compromised credentials
تتعقب Microsoft مجموعة ابتزاز البيانات Lapsus$ باسم "DEV-0537" وتقول إنها تركز بشكل أساسي على الحصول على بيانات اعتماد مخترقة للوصول الأولي إلى شبكات الشركة.
يتم الحصول على بيانات الاعتماد هذه باستخدام الطرق التالية:
- نشر أداة سرقة كلمات المرور الخبيثة Redline للحصول على كلمات المرور ورموز الجلسة.
- شراء أوراق الاعتماد ورموز الجلسة في المنتديات الجنائية السرية.
- دفع رواتب الموظفين في المنظمات المستهدفة (أو الموردين/ شركاء الأعمال) للوصول إلى بيانات الاعتماد والمصادقة متعددة العوامل (MFA) Multi-Factor .Authentication
- البحث في مستودعات الكود العام عن أوراق الاعتماد المكشوفة.
أصبح برنامج Redline Password Stealer هو البرنامج الضار المفضل لسرقة بيانات الاعتماد ويتم توزيعه بشكل شائع من خلال رسائل البريد الإلكتروني التصيدية phishing emails وثقوب watering holes ومواقع warez sites ومقاطع فيديو YouTube.
بمجرد حصول Laspsus$ على إمكانية الوصول إلى بيانات الاعتماد المخترقة، يستخدمونها لتسجيل الدخول إلى أجهزة وأنظمة الشركة التي تواجه الجمهور، بما في ذلك شبكات VPN أو البنية التحتية لسطح المكتب الافتراضي أو خدمات إدارة الهوية، مثل Okta، التي قاموا باختراقها في يناير.
تقول Microsoft إنها تستخدم هجمات إعادة تشغيل الجلسة session replay attacks للحسابات التي تستخدم MFA، أو تقوم باستمرار بتشغيل إشعارات MFA حتى يتعب المستخدم منها ويؤكد أنه يجب السماح للمستخدم بتسجيل الدخول.
تقول Microsoft أنه في هجوم واحد على الأقل، قام Lapsus$ بتنفيذ هجوم مبادلة بطاقة SIM للتحكم في أرقام هواتف المستخدم ونصوص الرسائل القصيرة للوصول إلى رموز MFA اللازمة لتسجيل الدخول إلى حساب.
بمجرد حصولهم على حق الوصول إلى شبكة، يستخدم المهاجمون AD Explorer للعثور على حسابات ذات امتيازات أعلى ومن ثم استهداف منصات التطوير والتعاون، مثل SharePoint و Confluence و JIRA و Slack و Microsoft Teams، حيث تتم سرقة بيانات الاعتماد الأخرى.
تستخدم مجموعة القرصنة أيضًا بيانات الاعتماد هذه للوصول إلى مستودعات التعليمات البرمجية المصدر على GitLab و GitHub و Azure DevOps، كما رأينا مع الهجوم على Microsoft.
توضح Microsoft في تقريرها: "يُعرف DEV-0537 أيضًا باستغلال الثغرات الأمنية في Confluence و JIRA و GitLab لتصعيد الامتيازات".
"قامت المجموعة بخرق الخوادم التي تقوم بتشغيل هذه التطبيقات للحصول على بيانات اعتماد حساب متميز أو تشغيلها في سياق الحساب المذكور وتفريغ بيانات الاعتماد من هناك".
ستقوم الجهات الفاعلة في التهديد بعد ذلك بجمع بيانات قيمة وتسريبها عبر اتصالات NordVPN لإخفاء مواقعهم أثناء تنفيذ هجمات مدمرة على البنية التحتية للضحايا لبدء إجراءات الاستجابة للحوادث.
ثم تراقب الجهات الفاعلة في التهديد هذه الإجراءات من خلال قنوات Slack الخاصة بالضحية أو Microsoft Teams.
الحماية ضد Lapsus$
توصي Microsoft أن تقوم كيانات الشركات بتنفيذ الخطوات التالية للحماية من الجهات المهددة مثل Lapsus$:
- تعزيز تنفيذ أسلوب العائلات المتعددة MFA
- طلب نقاط نهاية صحية وموثوق بها
- الاستفادة من خيارات المصادقة الحديثة لشبكات VPN
- تعزيز ومراقبة وضع الأمان السحابي الخاص بك
- تحسين الوعي بهجمات الهندسة الاجتماعية
- إنشاء عمليات أمنية تشغيلية استجابة لاقتحام DEV-0537
نفذ Lapsus$ مؤخرًا العديد من الهجمات ضد المؤسسة، بما في ذلك تلك التي استهدفت NVIDIA و Samsung و Vodafone و Ubisoft و Mercado Libre والآن Microsoft.
لذلك، يُنصح بشدة أن يصبح مسؤولو الأمان والشبكات على دراية بالتكتيكات التي تستخدمها هذه المجموعة من خلال قراءة تقرير Microsoft.