Microsoft, Lapsus$ Gasp Grubu Tarafından Saldırıya Uğradıklarını Doğruladı
Microsoft, çalışanlarından birinin güvenliğinin Lapsus$ hack grubu tarafından ele geçirildiğini ve tehdit aktörlerinin kaynak kodlarının bölümlerine erişmesine ve çalmasına izin verdiğini doğruladı.
Dün gece, Lapsus$ çetesi Microsoft'un Azure DevOps sunucusundan çalınan 37 GB kaynak kodunu yayınladı. Kaynak kodu, Bing, Cortana ve Bing Haritalar dahil olmak üzere çeşitli dahili Microsoft projeleri içindir.
Bu gece yayınlanan yeni bir blog gönderisinde Microsoft, çalışanlarının hesaplarından birinin Lapsus$ tarafından ele geçirildiğini ve kaynak kod havuzlarına sınırlı erişim sağladığını doğruladı.
Microsoft, bir danışma belgesinde Lapsus$ tehdit aktörleri hakkında "Gözlemlenen etkinliklere hiçbir müşteri kodu veya veri dahil edilmedi. Araştırmamız, sınırlı erişim sağlayan tek bir hesabın güvenliğinin ihlal edildiğini tespit etti. Siber güvenlik müdahale ekiplerimiz, güvenliği ihlal edilen hesabı düzeltmek ve daha fazla etkinliği önlemek için hızla devreye girdi" dedi.
"Microsoft, bir güvenlik önlemi olarak kodun gizliliğine güvenmez ve kaynak kodunun görüntülenmesi risk artışına yol açmaz. Bu izinsiz girişte kullanılan DEV-0537 taktikleri, bu blogda tartışılan taktikleri ve teknikleri yansıtmaktadır."
"Ekibimiz, aktör izinsiz girişlerini kamuya açıkladığı sırada, güvenliği ihlal edilmiş hesabı zaten tehdit istihbaratına dayalı olarak araştırıyordu. Bu kamuya açıklama, ekibimizin müdahale etmesine ve operasyonun ortasında aktöre müdahale etmesine olanak tanıyarak daha geniş etkiyi sınırlayarak eylemimizi hızlandırdı."
Microsoft, hesabın nasıl ele geçirildiğini paylaşmasa da, Lapsus$ çetesinin birden fazla saldırıda gözlemlenen taktikleri, teknikleri ve prosedürleri (TTP'ler) hakkında genel bir bakış sağladı.
Güvenliği ihlal edilmiş kimlik bilgilerine odaklanma
Microsoft, Lapsus$ veri gasp grubunu 'DEV-0537' olarak izliyor ve öncelikle şirket ağlarına ilk erişim için güvenliği ihlal edilmiş kimlik bilgileri almaya odaklandıklarını söylüyor.
Bu kimlik bilgileri aşağıdaki yöntemler kullanılarak elde edilir:
- Parolaları ve oturum belirteçlerini elde etmek için kötü niyetli Redline parola hırsızını dağıtma
- Suç yeraltı forumlarında kimlik bilgileri ve oturum belirteçleri satın alma
- Kimlik bilgilerine erişim ve çok faktörlü kimlik doğrulama (MFA) onayı için hedeflenen kuruluşlardaki (veya tedarikçilerdeki/iş ortaklarındaki) çalışanlara ödeme yapmak
- Açıkta kalan kimlik bilgileri için genel kod depolarını arama
Redline şifre hırsızı, kimlik bilgilerini çalmak için tercih edilen kötü amaçlı yazılım haline geldi ve yaygın olarak kimlik avı e-postaları, sulama delikleri, warez siteleri ve YouTube videoları aracılığıyla dağıtılıyor.
Laspsus$, güvenliği ihlal edilmiş kimlik bilgilerine eriştiğinde, bunu bir şirketin VPN'ler, Sanal Masaüstü altyapısı veya Ocak ayında ihlal ettikleri Okta gibi kimlik yönetimi hizmetleri dahil olmak üzere halka açık cihazlarına ve sistemlerine giriş yapmak için kullanırlar.
Microsoft, MFA kullanan hesaplar için oturum yeniden oynatma saldırılarını kullandıklarını veya kullanıcı bunlardan bıkana kadar MFA bildirimlerini sürekli olarak tetiklediklerini ve kullanıcının oturum açmasına izin verilmesi gerektiğini onayladığını söylüyor.
Microsoft, en az bir saldırıda Lapsus$'ın, bir hesaba giriş yapmak için gereken MFA kodlarına erişmek için kullanıcının telefon numaralarının ve SMS metinlerinin kontrolünü ele geçirmek için bir SIM takas saldırısı gerçekleştirdiğini söylüyor.
Bir ağa erişim sağladıklarında, tehdit aktörleri daha yüksek ayrıcalıklara sahip hesapları bulmak için AD Explorer'ı kullanır ve ardından SharePoint, Confluence, JIRA, Slack ve Microsoft Teams gibi diğer kimlik bilgilerinin çalındığı geliştirme ve işbirliği platformlarını hedefler.
Bilgisayar korsanlığı grubu, Microsoft'a yapılan saldırıda gördüğümüz gibi, GitLab, GitHub ve Azure DevOps'taki kaynak kod havuzlarına erişmek için bu kimlik bilgilerini de kullanır.
Microsoft, raporlarında "DEV-0537'nin Confluence, JIRA ve GitLab'daki güvenlik açıklarından ayrıcalık yükseltme için yararlandığı da biliniyor."
"Grup, ayrıcalıklı bir hesabın kimlik bilgilerini almak veya söz konusu hesap bağlamında çalıştırmak ve oradan kimlik bilgilerini boşaltmak için bu uygulamaları çalıştıran sunucuların güvenliğini ihlal etti."
Tehdit aktörleri daha sonra değerli verileri toplayacak ve olay yanıt prosedürlerini tetiklemek için kurbanların altyapısına yıkıcı saldırılar gerçekleştirirken konumlarını gizlemek için NordVPN bağlantıları üzerinden sızdıracak.
Tehdit aktörleri daha sonra bu prosedürleri kurbanın Slack veya Microsoft Teams kanalları aracılığıyla izler.
Lapsus$'a karşı koruma
Microsoft, kurumsal varlıkların Lapsus$ gibi tehdit aktörlerine karşı korunmak için aşağıdaki adımları gerçekleştirmesini önerir:
- MFA uygulamasını güçlendirin
- Sağlıklı ve Güvenilir Uç Noktalar Gerektirir
- VPN'ler için modern kimlik doğrulama seçeneklerinden yararlanın
- Bulut güvenlik duruşunuzu güçlendirin ve izleyin
- Sosyal mühendislik saldırılarına karşı farkındalığı artırın
- DEV-0537 izinsiz girişlerine yanıt olarak operasyonel güvenlik süreçleri oluşturun
Lapsus$ son zamanlarda NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre ve şimdi Microsoft'a karşı olanlar da dahil olmak üzere kuruluşa karşı çok sayıda saldırı gerçekleştirdi.
Bu nedenle, güvenlik ve ağ yöneticilerinin Microsoft'un raporunu okuyarak bu grup tarafından kullanılan taktiklere aşina olmaları şiddetle tavsiye edilir.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.