Microsoft が Lapsus$ ハッキングを認める:Bing などのソースコードにアクセス

Microsoft confirms they were hacked by Lapsus$ extortion group

2022/03/22 BleepingComputer — Microsoft は、同社の従業員1名のアカウントが Lapsus$ にハッキングされ、この脅威アクターによる、同社のソースコードの一部へのアクセス/窃取が生じたことを認めた。昨夜、Lapsus$ ランサムウェアは、Microsoft の Azure DevOps サーバーから盗み出した 37GB のソースコードを公開した。このソースコードは、Bing/Cortana/Bing Maps などの、同社の様々なプロジェクトに関わるものである。

Leaked source code projects
Leaked source code projects


Microsoft は、今夜に公開した新しいブログ記事で、従業員1名のアカウントが Lapsus$ により侵害され、ソースコード・リポジトリに限定的にアクセスされたことを確認した。

Microsoft は、「Lapsus$ はソースコード・リポジトリに限定的にアクセスすることができた。我々の調査の結果、1つのアカウントが侵害され、限定的なアクセスが許可されていたことが判明した。当社のサイバー・セキュリティ対応チームは、侵害されたアカウントを修復し、さらなる活動を防止するために素早く取り組んだ」と、Lapsus$ の脅威要因に関するアドバイザリで説明している。

同社は、「Microsoft では、セキュリティ対策として、コードの機密性に依存していない。したがって、ソースコードの閲覧がリスクの上昇につながることはない。DEV-0537 が今回の侵入で用いた戦術は、このブログで取り上げた戦術やテクニックを反映したものだ。私たちのチームは、行為者が侵入を公にしたときには、すでに脅威インテリジェンスに基づき、侵害されたアカウントを調査していた。この公開により、我々の行動のスピードは速められ、行為者を操作の途中で中断させることで、より大きな影響を抑えることになった」と付け加えている。

Microsoft は、このアカウントへの侵入方法については明らかにしていないが、複数の攻撃で観察された Lapsus$ の Tactics/Techniques/Procedures (TTPs) の一般的な概要を提供している。

漏洩したクレデンシャルに注目

Microsoft は、Lapsus$ を DEV-0537 として追跡しており、このグループが、主に企業ネットワークへのイニシャル・アクセスのために、資格情報を取得することに重点を置いていると述べている。これらの認証情報は、以下の方法で取得される。

  • パスワードとセッション・トークンを取得するための、悪意の Redline Password Stealer の配備
  • アンダーグラウンド・フォーラムでの認証情報/セッション・トークンの購入
  • 標的組織の従業員/サプライヤー /ビジネスパートナーの買収による、認証情報へのアクセスや多要素認証 (MFA) の取得
  • 公開されているコードリ・ポジトリの検索による、公開された認証情報の取得

    Redline Password Stealer は、認証情報を盗むために選ばれたマルウェアであり、フィッシングメール/ウォータリングホール/ワレズサイト/YouTube ビデオなどを通じて一般的に配布されている。Laspsus$ は、漏洩した認証情報へのアクセスに成功すると、それを使って、VPN/仮想デスクトップ・インフラや、1月に侵入した Okta などの ID 管理サービスといった、企業のパブリック・デバイス/システムにログインする。

    マイクロソフトによると、彼らは MFA を利用するアカウントに対してセッションリプレイ攻撃を行うか、ユーザーがそれに飽きてログインを許可することを確認するまでMFA通知を継続的に発生させるそうです。Microsoft によると、MFA を利用するアカウントに対しては、セッション・リプレイ攻撃の使用、もしくは、ユーザーが MFA 通知に疲れてログインを許可するまで、MFA 通知を継続的にトリガーしていくとのことだ。

    Microsoft によると、少なくとも1つの攻撃では、Lapsus$ は SIM スワップ攻撃を行い、ユーザーの電話番号と SMS テキストを制御し、対象アカウントへのログインに必要な MFA コードにアクセスしたという。

    ネットワークにアクセスすると、この脅威アクターは AD Explorer を用いて高い権限を持つアカウントを見つけ出し、SharePoint/Confluence/JIRA/Slack/Microsoft Teams などの開発・コラボレーション・プラットフォームを狙い、その他の認証情報を盗み出す。また、このハッキング・グループは、Microsoft への攻撃で見られたように、これらの認証情報を使用して、GitLab/GitHub/Azure DevOps 上のソースコード・リポジトリにもアクセスする。

    Microsoft のレポートによると、「DEV-0537 は、Confluence/JIRA/GitLab の脆弱性を悪用して、特権昇格することでも知られている。このグループは、一連のアプリケーションを実行しているサーバーを侵害し、特権アカウントの資格情報の取得、もしくは、当該アカウントのコンテキストでの実行により、資格情報をダンプする」と説明している。

    その後に、脅威アクターは貴重なデータを採取し、NordVPN 接続で流出させ、居場所を隠しつつ、被害者のインフラに破壊的な攻撃を行い、インシデント対応手順を発動させるとのことだ。そして、彼らは、被害者の Slack や Microsoft Teams のチャンネルを通じて、これらの手順を監視する。

    Lapsus$ に対する防御

    Microsoft では、Lapsus$ のような脅威から身を守るために、企業に対して以下の対策を推奨している。
  • MFA の実装を強化する
  • 健全で信頼できるエンドポイントの必要性
  • VPN に最新の認証オプションを活用する
  • クラウド・セキュリティ態勢の強化と監視
  • ソーシャル・エンジニアリング攻撃への意識向上
  • DEV-0537 の侵入に対応した運用セキュリティプロセスの確立

    最近の Lapsus$ は、NVIDIA/Samsung/Vodafone/Ubisoft/Mercado Libre などを攻撃した後に、今回の Microsoft も攻撃するなど、企業に対する多数の攻撃を行っている。したがって、セキュリティおよびネットワークの管理者に対しては、Microsoft のレポートを参考にして、このグループが使用する TTP に精通することを強く推奨する。

3月21日の「Lapsus$ ランサムウェアの主張:Microsoft のコード・リポジトリに侵入した」の続きであり、Microsoft サイドが、このランサムウェアによる侵入を確認しました。このところ、毎週のように Lapsus$ のトピックを見かけます。このブログでも、2月8日の「ポルトガルの Vodafone に大規模なサイバー攻撃:4G/5G 通信などが一時的に停止」や、3月4日の「NVIDIA 従業員 71,000 名の認証情報が盗まれた:ダークウェブで販売されているらしい」、3月15日の「Samsung から流出したソースコード:数 1000 の機密情報が含まれている」などにあるように、大手企業を次々と侵害しています。

%d bloggers like this: