Microsoft는 Lapsus$ 해킹그룹에 의해 해킹된 것을 확인~

Microsoft(이하 MS)는 직원 중 한 명이 Lapsus$ 해킹 그룹에 의해 손상되어 위협 행위자가 소스 코드에 액세스하고 일부를 훔칠 수 있음을 확인했습니다.

Lapsus$은 MS의  Azure DevOps 서버 에서 훔친 37GB의 소스 코드를 공개했습니다.

소스 코드는 Bing, Cortana 및 Bing Maps를 비롯한 다양한 내부 MS 프로젝트용입니다.

게시된 새 블로그 게시물에서 MS는 직원의 계정 중 하나가 Lapsus$에 의해 손상되어 소스 코드 저장소에 대한 제한된 액세스를 제공함을 확인했습니다.

"관찰된 활동에는 고객 코드나 데이터가 포함되지 않았습니다. 조사 결과 단일 계정이 손상되어 제한된 액세스 권한이 부여된 것으로 나타났습니다. 우리 사이버 보안 대응 팀은 손상된 계정을 수정하고 추가 활동을 방지하기 위해 Lapsus$ 위협 행위자에 대해 신속하게 대응했습니다."라고 MS는 설명했습니다.

"MS는 보안 조치로 코드의 비밀성에 의존하지 않으며 소스 코드를 보는 것이 위험을 증가시키지 않습니다. 이 침입에 사용된 DEV-0537 전술은 이 블로그에서 논의된 전술과 기술을 반영합니다."

"공격자가 침입을 공개적으로 공개했을 때 우리 팀은 위협 인텔리전스를 기반으로 손상된 계정을 이미 조사하고 있었습니다. 이 공개 공개로 인해 우리 팀이 공격자를 개입하고 중간 작업을 방해하여 더 넓은 영향을 제한할 수 있도록 조치를 확대했습니다."

MS는 계정이 어떻게 손상되었는지 공유하지 않았지만 여러 공격에서 관찰된 Lapsus$의 전술, 기술 및 절차에 대한 일반적인 개요를 제공했습니다.

- 손상된 자격 증명에 집중

MS는 Lapsus$ 데이터 갈취 그룹을 'DEV-0537'로 추적하고 있으며 주로 기업 네트워크에 대한 초기 액세스를 위해 손상된 자격 증명을 얻는 데 중점을 둡니다.

이러한 자격 증명은 다음 방법을 사용하여 얻습니다.

 ▶ 비밀번호와 세션 토큰을 얻기 위해 악성 Redline 비밀번호 스틸러 배포

 ▶ 범죄 지하 포럼에서 자격 증명 및 세션 토큰 구매

 ▶ 자격 증명에 대한 액세스 및 MFA(다단계 인증) 승인을 위해 대상 조직(또는 공급업체/비즈니스 파트너)의 직원에게 비용을 지불합니다.

 ▶ 노출된 자격 증명에 대한 공개 코드 저장소 검색

Redline 비밀번호 도용자는  자격 증명을 도용하기 위해 선택되는 맬웨어 가 되었으며  일반적으로 피싱 이메일, 워터링 홀, warez 사이트 및 YouTube 동영상을 통해 배포됩니다.

Laspsus$는 손상된 자격 증명에 대한 액세스 권한을 얻은 후 이를 사용하여 VPN, 가상 데스크톱 인프라 또는 Okta와 같은 ID 관리 서비스를 포함한 회사의 공개 장치 및 시스템에 로그인합니다.

MS는 MFA를 활용하는 계정에 대해 세션 재생 공격을 사용하거나 사용자가 지겨워하고 사용자가 로그인할 수 있어야 한다고 확인할 때까지 MFA 알림을 지속적으로 트리거한다고 말합니다.

MS는 Lapsus$가 최소 한 번의 공격에서 SIM 스왑 공격을 수행하여 계정에 로그인하는 데 필요한 MFA 코드에 액세스하기 위해 사용자의 전화번호와 SMS 문자를 제어했다고 밝혔습니다.

일단 네트워크에 액세스하면 공격자는  AD Explorer  를 사용하여 더 높은 권한을 가진 계정을 찾은 다음 SharePoint, Confluence, JIRA, Slack 및 MS Teams와 같은 개발 및 협업 플랫폼을 표적으로 삼아 다른 자격 증명을 훔칩니다. 

또한 해킹 그룹은 MS에 대한 공격에서 본 것처럼 이러한 자격 증명을 사용하여 GitLab, GitHub 및 Azure DevOps의 소스 코드 리포지토리에 액세스합니다.

MS는 보고서에서 "DEV-0537은 권한 상승을 위해 Confluence, JIRA 및 GitLab의 취약점을 악용하는 것으로 알려져 있습니다.

"그룹은 이러한 애플리케이션을 실행하는 서버를 손상시켜 권한 있는 계정의 자격 증명을 얻거나 해당 계정의 컨텍스트에서 실행하고 거기에서 자격 증명을 덤프합니다."

그런 다음 위협 행위자는 중요한 데이터를 수집하고 NordVPN 연결을 통해 유출하여 위치를 숨기고 피해자의 인프라에 파괴적인 공격을 수행하여 사고 대응 절차를 시작합니다. 

그런 다음 위협 행위자는 피해자의 Slack 또는 MS Teams 채널을 통해 이러한 절차를 모니터링합니다.

- Lapsus$로부터 보호(대응)

MS는 기업이 Lapsus$와 같은 위협 행위자로부터 보호하기 위해 다음 단계를 수행할 것을 권장합니다.

 ▶ MFA 구현 강화

 ▶ 정상적이고 신뢰할 수 있는 엔드포인트 필요

 ▶ VPN에 대한 최신 인증 옵션 활용

 ▶ 클라우드 보안 태세 강화 및 모니터링

 ▶ 사회 공학 공격에 대한 인식 개선

 ▶ DEV-0537 침입에 대응하는 운영 보안 프로세스 수립

Lapsus$는 최근 NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre 및 현재 MS에 대한 공격을 포함하여 기업에 대한 수많은 공격을 수행했습니다  .

따라서 보안 및 네트워크 관리자는 MS의 보고서를 읽고 이 그룹이 사용하는 전술에 익숙해지는 것이 좋습니다.