マイクロソフト、ハッキンググループLapsus$からハッキングされたことを公表。攻撃手段や対処方法なども公開

news

マイクロソフトは、同社の従業員1名がハッキンググループ「Lapsus$」に侵入され、同社のソースコードの一部にアクセスされ、窃取したことを確認したと発表しました。

https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/

Lapsus$グループは、マイクロソフトのAzure DevOpsサーバーから盗まれた37GBのソースコードを公開しました。このソースコードは、Bing、Cortana、Bing Mapsなど、マイクロソフト社内の様々なプロジェクトに関わるものです。

ブログ記事で、マイクロソフトは従業員の1人のアカウントがLapsus$によって侵害され、ソースコードリポジトリに限定的にアクセスできるようになったことを確認したことを発表しました。

Lapsus$はソースコードリポジトリに限定的にアクセスしたようです。我々の調査の結果、1つのアカウントが侵害され、限定的なアクセスを許可されていたことが判明しました。当社のサイバーセキュリティ対応チームは、侵害されたアカウントを修復し、さらなる活動を防止するために迅速に取り組みました

マイクロソフトは、セキュリティ対策としてコードの機密性に依存しておらず、ソースコードの閲覧がリスクの上昇につながることはありません。DEV-0537が今回の侵入で用いた戦術は、このブログで取り上げた戦術やテクニックを反映したものです。

私たちのチームは、脅威インテリジェンスに基づき、すでに侵害されたアカウントを調査していました。この公開によって我々のチームは介入して攻撃者を操作の途中で中断させることができ、より大きな影響を抑えることができました。

マイクロソフトは、このアカウントがどのように侵入されたかは明らかにしていませんが、複数の攻撃で観察されたLapsus$グループの戦術、技術、手順(TTP)の一般的な概要を提供しています。

漏洩したクレデンシャルに注目

マイクロソフトは、Lapsus$グループを「DEV-0537」として追跡しており、彼らは主に企業ネットワークへの最初のアクセスのために妥協した資格情報を取得することに重点を置いていると述べています。

これらの認証情報は、以下の方法で取得されたようです。

  • パスワードとセッション・トークンを取得するために、悪意のあるRedlineパスワード・スティーラーを導入
  • 犯罪者向けアンダーグラウンドフォーラムでの認証情報およびセッション・トークンの購入
  • 標的組織の従業員(またはサプライヤー/ビジネスパートナー)に金銭を支払い、認証情報へのアクセスや多要素認証(MFA)を承認させる。
  • 公開されているコードリポジトリを検索して、公開されている認証情報を探す

Redline password stealerは、認証情報を盗むために選ばれたマルウェアで、フィッシングメール、水飲み場攻撃、ワレズサイト、YouTubeビデオを通じて一般的に配布されています。

Laspsus$は取得した認証情報を使って、VPN、仮想デスクトップインフラ、あるいは1月に侵入したOktaなどのID管理サービスなど、企業の公衆向けデバイスやシステムにログインします。

マイクロソフトによると、彼らはMFAを利用するアカウントに対してセッションリプレイ攻撃を行うか、ユーザーがそれに飽きてログインを許可することを確認するまでMFA通知を継続的に発生させるそうです。

Microsoftによると、少なくとも1つの攻撃で、Lapsus$はSIMスワップ攻撃を行い、ユーザーの電話番号とSMSテキストを制御して、アカウントへのログインに必要なMFAコードにアクセスできるようにしたとのことです。

ネットワークにアクセスすると、脅威者はAD Explorerを使ってより高い権限を持つアカウントを見つけ、SharePoint、Confluence、JIRA、Slack、Microsoft Teamsなどの開発およびコラボレーションプラットフォームを狙い、他の認証情報を盗み出します。

また、ハッキンググループはMicrosoftへの攻撃で見られたように、これらの認証情報を使用して、GitLab、GitHub、Azure DevOps上のソースコードリポジトリにアクセスすることもできます。

DEV-0537は、Confluence、JIRA、GitLabの脆弱性を悪用して特権を昇格させることも知られています

グループは、これらのアプリケーションを実行しているサーバーを侵害し、特権アカウントの資格情報を取得するか、当該アカウントのコンテキストで実行し、そこから資格情報をダンプします。

その後、脅威者は貴重なデータを採取し、NordVPN接続で流出させ、居場所を隠しつつ、被害者のインフラに破壊的な攻撃を行い、インシデントを引き起こす手段を発動させるのだそうです。

そして、脅威者は、被害者のSlackやMicrosoft Teamsのチャンネルを通じて、これらの様子を監視します。

Lapsus$からの保護方法とは?

マイクロソフトでは、Lapsus$のような脅威から身を守るために、企業に対して以下の対策を推奨しています。

  • MFAの実装を強化
  • 健全で信頼できるエンドポイントの必要性
  • VPNに最新の認証オプションを活用する
  • クラウドセキュリティ態勢の強化と監視
  • ソーシャルエンジニアリング攻撃への意識向上
  • DEV-0537の侵入に対応した運用セキュリティプロセスの確立

Lapsus$は最近NVIDIA、Samsung、Vodafone、Ubisoft、Mercado Libre、そして今回のMicrosoftに対する攻撃など、企業に対する攻撃を数多く行っています。

したがって、マイクロソフトの報告書を読み、このグループが使用する戦術に精通することが強く推奨されます。

Comments

タイトルとURLをコピーしました