Hackergruppe Lapsus$ infiltriert Microsoft und veröffentlicht Quellcode

Microsoft bestätigte, dass ein Mitarbeiter des Unternehmens von der Hackergruppe Lapsus$ infiltriert wurde, und dass sich die Angreifer Zugang verschafft und einen Teil des Quellcodes des Unternehmens gestohlen und verbreitet haben.

Letzte Nacht hat die Lapsus$-Bande 37 GB Quellcode veröffentlicht, der vom Microsoft Azure DevOps-Server gestohlen wurde. Der Quellcode betraf verschiedene Microsoft-Projekte, darunter Bing, Cortana und Bing Maps.

Projekte mit durchgesickertem Quellcode

In einem neuen Blogbeitrag, der heute Abend veröffentlicht wurde, hat Microsoft bestätigt, dass die Konten eines seiner Mitarbeiter von Lapsus$ gehackt wurden, wodurch er begrenzten Zugriff auf das Quellcode-Repository des Unternehmens erhielt.

“Lapsus$ hat den Zugang zum Quellcode-Repository eingeschränkt. Unsere Untersuchung ergab, dass das Konto kompromittiert worden war und nur begrenzten Zugang hatte. Unser Cybersicherheitsteam hat schnell gehandelt, um das Konto zu bereinigen und weitere Aktivitäten zu verhindern”, erklärte Microsoft in einer Erklärung über den Bedrohungsfaktor Lapsus$.

Microsoft verließe sich nicht auf die Code-Geheimhaltung als Sicherheitsmaßnahme, und die Offenlegung des Quellcodes stelle laut dem Unternehmen selbst kein erhöhtes Risiko dar, die von DEV-0537 bei diesem Hack angewandte Taktik spiegelt die in diesem Blog besprochenen Taktiken und Techniken wider.

Statement von Microsoft

Microsoft gibt zu dem Vorfall das folgende Statement ab:

“Unser Team untersuchte das kompromittierte Konto bereits auf der Grundlage von Bedrohungsdaten, als der Angreifer sein Eindringen öffentlich bekannt gab. Diese öffentliche Bekanntgabe führte zu einer Eskalation unserer Maßnahmen, die es unserem Team ermöglichte, einzugreifen und den Akteur mitten in der Operation zu unterbrechen, um die weiteren Auswirkungen zu begrenzen.”

Microsoft hat nicht bekannt gegeben, wie das Konto kompromittiert wurde, bietet aber einen Überblick über die Taktiken, Techniken und Verfahren (TTPs) der Lapsus-Bande, die bei mehreren Angriffen beobachtet wurden.

Fokus auf kompromittierte Anmeldedaten

Microsoft bezeichnet die Lapsus$-Hackergruppe als “DEV-0537” und gibt an, dass sie sich hauptsächlich darauf konzentrieren, kompromittierte Anmeldeinformationen für den Erstzugang zum Unternehmensnetzwerk zu erhalten.

Die Zugangsdaten werden wie folgt erworben:

  • Verwendung des bösartigen Redline-Passwortstehlers, um Passwörter und Sitzungs-Token zu erhalten
  • Kauf von Anmeldeinformationen und Sitzungs-Token in kriminellen Untergrundforen und Darknet
  • Bezahlung von Mitarbeitern (oder Anbietern/Geschäftspartnern) des Zielunternehmens für den Zugang zu Anmeldeinformationen und Multifaktor-Authentifizierung (MFA).
  • Durchsuchen von öffentlichen Code-Repositories nach öffentlich zugänglichen Authentifizierungsinformationen.

Der Redline Password Stealer ist die am weitesten verbreitete Malware zum Stehlen von Anmeldedaten und wird in der Regel über Phishing-E-Mails, Browser-Exploits und YouTube-Videos verbreitet.

Nachdem sie sich Zugang zu den kompromittierten Anmeldedaten verschafft haben, verwenden Laspsus$ diese, um sich bei öffentlich zugänglichen Unternehmensgeräten und -systemen wie VPNs, virtuellen Desktop-Infrastrukturen oder Identitätsmanagementdiensten wie Okta anzumelden, das im Januar gehackt wurde.

Laut Microsoft führen sie entweder Sitzungswiederholungsangriffe auf Konten durch, die MFA verwenden, oder generieren ständig MFA-Nachrichten, bis der Benutzer diese leid ist und bestätigt, dass er sich anmelden darf.

Laut Microsoft führte Lapsus$ bei mindestens einem Angriff einen SIM-Byte-Angriff durch, bei dem er die Kontrolle über die Telefonnummer und die SMS des Benutzers erlangte und Zugriff auf den MFA-Code erhielt, der für die Anmeldung bei dem Konto erforderlich ist.

Nach dem Eindringen nutzten die Bedrohungsakteure AD Explorer, um Konten mit höheren Berechtigungen zu finden, und nahmen Entwicklungs- und Kollaborationsplattformen wie SharePoint, Confluence, JIRA, Slack, Microsoft Teams und andere ins Visier.

Hacker-Gruppen könnten diese Anmeldedaten auch verwenden, um sich Zugang zu Quellcode-Repositories auf GitLab, GitHub und Azure DevOps zu verschaffen, wie im Fall des Angriffs auf Microsoft.

“DEV-0537 ist auch dafür bekannt, dass er Schwachstellen in Confluence, JIRA und GitLab ausnutzt, um seine Privilegien zu erhöhen”, erklärt Microsoft in dem Bericht.

Die Gruppe kompromittiert die Server, auf denen diese Anwendungen laufen, und greift entweder auf die Anmeldedaten für privilegierte Konten zu oder läuft im Kontext des angegebenen Kontos und setzt die Anmeldedaten von dort aus zurück.

Die Bedrohungsakteure sammeln dann wertvolle Daten und übermitteln sie über die NordVPN-Verbindung, wobei sie ihren Standort verbergen und verheerende Angriffe auf die Infrastruktur des Opfers starten, um Reaktionsmaßnahmen auszulösen, heißt es in dem Bericht.

Die Bedrohungsakteure überwachen diese Vorgänge dann über die Slack- und Microsoft Teams-Kanäle des Opfers.

Nachhaltiger Schutz vor Lapsus$

Microsoft empfiehlt Unternehmen die folgenden Schritte zum Schutz vor Lapsus$-ähnlichen Bedrohungen

  • Verbesserte Umsetzung der Multi-Faktor-Authentifizierung
  • Einsatz von vertrauenswürdigen Endpunkten
  • Nutzung moderner VPN-Authentifizierungsoptionen
  • Verbesserte Cloud-Sicherheit und Überwachung
  • Stärkeres Bewusstsein für Social-Engineering-Angriffe
  • Schaffung operativer Sicherheitsprozesse als Reaktion auf DEV-0537-Angriffe.

Lapsus$ hat in letzter Zeit eine Reihe von Unternehmen angegriffen, darunter NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre und jetzt Microsoft.

Sicherheits- und Netzwerkadministratoren sollten sich daher unbededingt mit den Taktiken und der Vorgehensweise dieser Gruppe vertraut machen.

Nächster Artikel

Microsoft behebt Zero-Day-Schwachstelle in allen Versionen von Windows

Microsoft hat eine aktiv ausgenutzte Windows LSA Spoofing Zero-Day-Schwachstelle gepatcht, die nicht authentifizierte Angreifer aus der Ferne ausnutzen können, um Domänencontroller zu zwingen, sich …

Weiterlesen

CYTRES GmbH
Hauptstraße 49
61231 Bad Nauheim

Unternehmen
Über unsUnsere WerteUnsere MissionUnsere ExpertiseKontakt
Wissen
MediathekForumPodcastsWissensdatenbankTools
Rechtliches
ImpressumDatenschutz