您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

微软遭 Lapsus$ 黑客组织入侵,背后的骚操作防不胜防

时间:2022-04-01 11:53:06  来源:  作者:浅黑科技

互联网时代,黑客攻击早已不是难得一见的新闻,可最近几日,仍有一起黑客攻击事件成功引发安全圈热议:微软遭黑客组织 Lapsus$ 入侵

3 月 21 日晚,Lapsus$ 公开了从微软 Azure DevOps 服务器盗取的 37GB 源代码,这些被盗的源代码,用于微软的各种内部 Microsoft 项目,包括 Bing 搜索、Cortana 语音助手和 Bing 地图等。

微软遭 Lapsus$ 黑客组织入侵,背后的骚操作防不胜防

遭泄漏的源代码项目

第二天,微软发布公告确认,确实有一名员工账户遭到 Lapsus$ 黑客组织入侵,并且获取了对源代码存储库的有限访问权限。

通常情况下,一听到某家公司被黑客入侵,不少人下意识认为,肯定是这家公司的安全防范措施不到位。尽管这种推论确实存在,却并不适用于理解这次入侵,因为微软在安全防控方面,并非弱鸡。

微软堪称安全行业的巨无霸,安全、合规、身份与管理部门的员工有万人之多,占员工总人数(约 20 万人)的 5%。这些万中选一的精英人才,专门为企业安全保驾护航,完全不是吃素的。

这样看来,Lapsus$ 黑客组织同样不是吃素的。

Lapsus$ 是个黑客组织新秀,2021 年 12 月因入侵巴西卫生部首次引发关注,从此开始疯狂席卷全球科技巨头,英伟达、三星、沃达丰等都遭其黑手。

更气人的是,这个组织的字典里没有低调二字,他们专门设立了一个 Telegram 频道,用来展示自己在入侵道路上的各种证明材料,此举甚至吸引了一大批追随者。

这次微软遭到入侵,尽管公告中并未透露账户是如何被入侵的,但微软还是提供了一个解题思路:枚举了 Lapsus$ 常用的 4 种入侵手法。

1、部署恶意 Redline 密码窃取程序,这是一种木马程序,能够获取密码和会话令牌;

2、从地下犯罪论坛购买密码和会话令牌;

3、向目标组织的员工 (或供应商/商业伙伴) 支付费用,直接购买他们的密码或二次认证口令;

4、在公共代码库中搜索公开的凭据。

微软遭 Lapsus$ 黑客组织入侵,背后的骚操作防不胜防

 

以上四种方法中,1、3、4 都属常规操作,唯独 3,也就是直接向目标公司内部员工付费购买密码或二次认证口令,这波操作属实够骚,但也最有效。

3 月 10 日,Lapsus$ 在 Telegram 上发布了一则另类的招聘启事,面向各大电信运营商、科技巨头类公司雇员,求购 VPN、Citrix、Anydesk 等权限。当然,开出的报酬也非常诱人:周薪 2 万美金,这意味着每月高达 8 万美金,实属高薪没错了。

微软遭 Lapsus$ 黑客组织入侵,背后的骚操作防不胜防

明目张胆招聘内鬼

不知有多少相关员工看了会心动?毕竟,在整个安全链条上,最大的漏洞就是人。

“购买密码”这种操作属于「社会工程学攻击」的一种,指的是攻击者对目标对象进行心理操纵,使其步步走入提前设好的陷阱,最终泄漏机密信息

而且,Lapsus$ 在一系列入侵攻击中,还利用了另外一种「社会工程学攻击」手段:MFA 双因子认证 (Multi-factor authentication)。

很长时间以来,MFA 被看作是防止账户被盗最有效的核心防御手段之一,更重要的是,它在现实中已经被广泛使用。

比如当你登陆某平台时,在正确输入用户名和密码外,MFA 还需要你配合出示另一种验证因素,例如指纹、短信/语音验证码、数字口令等,只有顺利完成二次验证,才能访问账户。

微软遭 Lapsus$ 黑客组织入侵,背后的骚操作防不胜防

 

然而,Lapsus$ 这类黑客组织正在向外界证明,MFA 并非牢不可破。

由于很多 MFA 提供商允许用户接受手机应用程序推送验证通知、短信接收验证码、接听语音验证电话,或者简单按下屏幕上出现的确认按钮作为第二个因素,黑客组织利用这一点,向终端用户的合法设备发出多次 MFA 请求,目的只有一个:诱导用户接受 MFA 请求。

至于具体操作,包括三种:

1、向目标用户发送一堆 MFA 请求,迫使用户接受其中一个来终止更多骚扰。

2、每天发送一到两个提示,尽管这种方法吸引的注意力较少,但“仍然有一个很好的机会,令目标用户接受 MFA 请求。”

3、给目标用户打电话,假装是公司的一部分,告诉用户需要发送 MFA 请求作为公司流程的一部分。

微软遭 Lapsus$ 黑客组织入侵,背后的骚操作防不胜防

 

尽管如今已经证明,MFA 也有漏洞可循,但整体来看,任何形式的 MFA 还是比不使用 MFA 要好得多。

此外,在微软所披露的报告中,还有一个手法值得关注:SIM 卡交换攻击

简单来说,就是冒充你给 SIM 卡运营商打电话,挂失并补办一张新 SIM 卡。攻击者拿到卡后,通过另一支手机开机,使用补办的 SIM 卡接管你的手机号码,接收你的短信验证码等信息,通过重置账号密码的方式,入侵你的多个账户。

微软遭 Lapsus$ 黑客组织入侵,背后的骚操作防不胜防

 

就是这样一个看起来毫无技术含量的手法,在 2018 年 1 月至 2020 年 12 月期间,FBI 互联网犯罪投诉中心收到的报案数量达 320 起,涉及总金额高达 1200 万美元。而 2021 年全年,报案数字更是上升到了 1611 起,涉案金额升至 6800 万美元。

SIM 卡交换攻击根本无需绕过手机复杂的安全机制,一旦攻击成功,真实用户的电话就会失去网络连接,无法拨打或接听电话,而攻击者就可以为所欲为。

除 SIM 卡交换攻击外,还有一种攻击手段值得关注:SIM 卡克隆攻击

2015 年,全球最大的 SIM 卡芯片制造商 Gemalto 遭黑客入侵,SIM 卡的关键秘钥 KI 疑似遭到窃取。

SIM 卡克隆,是一个非常专业的技术过程,但核心的参数只有两个:IMSI,KI。

IMSI,全称 International Mobile Subscriber Identification Number,国际移动用户识别码,长度不超过 15 位,相当于 SIM 卡的用户名;

Ki (Key identifier),网络验证秘钥,同时也是 SIM 克隆的关键。

Ki 一般存储在两类公司:电信运营商,SIM 卡制造商。这就是为什么 Lapsus$ 的招聘启事中,特别提到电信运营商的原因。

攻击者完成 SIM 卡克隆后,新旧两张 SIM 卡都有效,但只允许最后接入网络的这张新卡在网,而旧卡不会收到任何短信验证码。

攻击者利用手中的新卡接收验证码,进而重置密码或直接进行业务操作,等用户发觉时,损失已经造成。

随着技术进步,社会工程学攻击手段也愈发精致,此次微软被入侵绝不会是最后一例,只能说:道高一尺,魔高一丈;网络安全,任重道远。

参考资料:

1、
https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-lapsus-extortion-group/

2、
https://mp.weixin.qq.com/s/6Nx3H48592fR2d2-YstVEw

3、
https://www.wired.com/story/multifactor-authentication-prompt-bombing-on-the-rise/#intcid=_wired-verso-hp-trending_1a5b336d-2544-4d71-9978-7904ecee6869_popular4-1


文 | 木子Yanni



Tags:黑客组织   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
俄黑客组织利用WinRAR漏洞攻击乌克兰
据Securityaffairs网站消息,具有俄罗斯背景的黑客组织UAC-0099正在利用WinRAR中的一个零日漏洞(已修复,编号CVE-2023-38831)对乌克兰传播LONEPAGE恶意软件。实际上,自2022年中旬...【详细内容】
2023-12-27  Search: 黑客组织  点击:(153)  评论:(0)  加入收藏
微软:Octo Tempest是最危险的金融黑客组织之一
导语最近,微软发布了一份关于金融黑客组织Octo Tempest的详细报告。这个组织以其高级社交工程能力而闻名,专门针对从事数据勒索和勒索软件攻击的企业。Octo Tempest的攻击手段...【详细内容】
2023-11-16  Search: 黑客组织  点击:(237)  评论:(0)  加入收藏
揭秘ATW,一个对华疯狂窃取数据的黑客组织
以欧洲、北美地区的程序员、网络工程师为核心成员,主要针对中国、朝鲜等国发布政府数据泄密帖子,自我标榜“道德黑客”......2月18日,北京奇安盘古实验室公开一份报告,揭秘了疯...【详细内容】
2023-02-20  Search: 黑客组织  点击:(145)  评论:(0)  加入收藏
黑客组织使用定制的“Symatic”加载Cobalt Strike后门
一个以前不为人知的APT(高级持续威胁)黑客组织被称为“Earth Longzhi”,目标是东亚、东南亚和乌克兰的组织。攻击者至少从 2020 年开始就一直活跃,他们使用定制版本的 Cobalt St...【详细内容】
2022-11-11  Search: 黑客组织  点击:(405)  评论:(0)  加入收藏
日媒:黑客组织KillNet攻击日政府网站第二天,东京和大阪地铁网站也瘫了
【环球网报道 记者 张晓雅】在日媒发现“亲俄罗斯”的黑客组织KillNet 6日宣布对日本政府网站实施网络攻击后,共同社最新消息称,东京地铁公司和大阪地铁公司的网站也于当地时...【详细内容】
2022-09-08  Search: 黑客组织  点击:(401)  评论:(0)  加入收藏
全球最神秘黑客组织:亦正亦邪的“匿名者”
提到黑客二字,大家的脑海里会浮现出怎样的形象呢?是否有着不修边幅的外表,高超的电脑技术,弹指之间便可黑进政府和企业的网站,盜取机密文件。 近年来拜好莱坞电影所赐,人们心中的...【详细内容】
2022-07-20  Search: 黑客组织  点击:(738)  评论:(0)  加入收藏
世界上最顶尖黑客组织和个人
顶尖黑客组织匿名者 匿名者世界第一大邪恶黑客联盟组织,其成员遍布全世界,并且实力超强。曾入侵过美国的五角大楼、攻击过isis的网站,入侵过荷兰、英国等国家的网络系统,被世界...【详细内容】
2022-07-10  Search: 黑客组织  点击:(594)  评论:(0)  加入收藏
“审判日”:亲俄黑客组织对立陶宛发动大规模网络攻击
编者按立陶宛政府和私营企业目标6月27日遭受大规模DDoS攻击,亲俄黑客组织Killnet宣布对上述网络攻击负责。此次攻击导致大量立陶宛网站瘫痪下线,包括机场、国家税务、最高法院...【详细内容】
2022-06-29  Search: 黑客组织  点击:(333)  评论:(0)  加入收藏
俄黑客组织向美英10国“宣战”
当地时间16日,俄罗斯黑客组织“Killnet”正式向包括美国、英国、德国在内10个国家的政府“宣战”。该黑客组织认为,这些西方国家正支持“反俄运动”。“问候我们所有的敌人们!...【详细内容】
2022-05-18  Search: 黑客组织  点击:(426)  评论:(0)  加入收藏
ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考
前言开源软件在助力企业数字化转型的过程中起到了至关重要的作用,然而开源软件的广泛应用却由于安全意识的不足和缺失大大增加了风险暴露面,使用默认配置、允许未授权访问、权...【详细内容】
2022-04-06  Search: 黑客组织  点击:(443)  评论:(0)  加入收藏
▌简易百科推荐
国家安全部:95后“技术宅”遇间谍网络勾连,共享国家级项目数据后次日举报获奖
国家安全部微信公众号3月25日发文介绍一起网勾案件,全文如下:2023年,某高新技术企业的青年设计师阿强,拨打国家安全机关12339举报受理电话称,某科技论坛上一名昵称“暗影Dark”的...【详细内容】
2024-03-25    观察者网  Tags:间谍   点击:(22)  评论:(0)  加入收藏
我国某高新企业遭境外网络勒索攻击,国安部发文谈如何防范
在信息化时代,网络犹如“神经系统”,网络安全出现问题,不仅影响社会稳定与经济发展,也会威胁到国家安全和利益。近年来,日益猖獗的境外网络勒索攻击,已成为我国网络安全“公害”。...【详细内容】
2024-03-21  国家安全部  微信公众号  Tags:网络勒索   点击:(31)  评论:(0)  加入收藏
《2024人工智能安全报告》:2023年AI深度伪造欺诈增长30倍
近日,奇安信集团发布《2024人工智能安全报告》(以下简称《报告》)。《报告》显示,2023年基于AI的深度伪造欺诈增长了3000%,基于AI的钓鱼邮件增长了1000%;目前已发现多个有国家背景的...【详细内容】
2024-03-18    环球网  Tags:人工智能安全   点击:(22)  评论:(0)  加入收藏
1300万次攻击!求职招聘类APP遭黑客攻击 个人信息被泄露
根据最新的央视新闻报道,一款求职招聘类APP的短信验证码接口在近期内遭到了1300多万次的攻击。经警方调查发现,这起事件是由两名嫌疑人所为,他们利用网站漏洞制造黑客软件,并通...【详细内容】
2023-12-11  中关村在线    Tags:黑客攻击   点击:(228)  评论:(0)  加入收藏
应对勒索病毒攻击!全网首个 “远控·勒索急救”功能上线
随着勒索病毒和远程控制软件的攻击事件频发,数据安全和隐私保护方面面临重大挑战。近日,360安全卫士推出了全网首个“远控·勒索急救”功能,旨在提供一个可靠的自行处置...【详细内容】
2023-12-08    大众网  Tags:勒索   点击:(201)  评论:(0)  加入收藏
勒索工行美国分行的LockBit是个什么组织?
来源:冰川思享号撰文丨刘远举11月8日,中国工商银行在美全资子公司——工银金融服务有限责任公司(ICBCFS),受到Lockbit勒索软件组织攻击。虽然ICBCFS表示,发现攻击后立即...【详细内容】
2023-11-26  冰川思享号    Tags:LockBit   点击:(328)  评论:(0)  加入收藏
国家安全部:美国2009年就开始入侵华为总部服务器
中新经纬9月20日电 国家安全部官方微信公众号20日发布《起底美国情报机关网攻窃密的主要卑劣手段》。全文如下:近日,中国国家计算机病毒应急处理中心通报,在处置西北工业大学遭...【详细内容】
2023-09-20    中新经纬  Tags:入侵   点击:(246)  评论:(0)  加入收藏
新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!
近日,国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析,分析报告显示,该软件是美国国家安全局(NSA)开发的网络间谍武器。据了解,在国家计算...【详细内容】
2023-09-14    央视新闻客户端  Tags:黑客   点击:(272)  评论:(0)  加入收藏
恶意软件 AMOS 威胁升级:在谷歌搜索投放广告、钓鱼诱骗 Mac 用户安装
IT之家 9 月 7 日消息,网络安全公司 Cyble Research 今年 4 月发布报告,发现有黑客正在兜售针对 macOS 的恶意软件--Atomic macOS Stealer(AMOS)。网络安全公司 Malwarebytes 今...【详细内容】
2023-09-07    IT之家  Tags:恶意软件   点击:(296)  评论:(0)  加入收藏
英国专家:人工智能可通过键盘声窃取密码
《参考消息》日前刊登英国《泰晤士报》网站文章《人工智能可以通过聆听你敲击键盘的声音来窃取密码》,报道摘要如下:来自英国杜伦大学、萨里大学和伦敦大学皇家霍洛韦学院的专...【详细内容】
2023-08-14    新华社  Tags:密码   点击:(185)  评论:(0)  加入收藏
站内最新
栏目相关
  • · 国家安全部:95后“技术宅”遇间谍网络勾连,共享国家级项目数据后次日举报获奖
  • · 我国某高新企业遭境外网络勒索攻击,国安部发文谈如何防范
  • · 《2024人工智能安全报告》:2023年AI深度伪造欺诈增长30倍
  • · 1300万次攻击!求职招聘类APP遭黑客攻击 个人信息被泄露
  • · 应对勒索病毒攻击!全网首个 “远控·勒索急救”功能上线
  • · 勒索工行美国分行的LockBit是个什么组织?
  • · 国家安全部:美国2009年就开始入侵华为总部服务器
  • · 新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!
  • · 恶意软件 AMOS 威胁升级:在谷歌搜索投放广告、钓鱼诱骗 Mac 用户安装
  • · 英国专家:人工智能可通过键盘声窃取密码
  • · 数千名黑客齐聚拉斯维加斯 共同“围剿”ChatGPT等AI应用
  • · 大运会正赛期间拦截网络攻击1596万次
  • · 重磅!黑客破解特斯拉自动驾驶套餐功能,价值高达15000美元,下周公开!
  • · 报告称黑客滥用LOLBAS,通过微软Office安装包分发恶意软件
  • · 7月黑客不停歇 各类安全事件涉及的总金额达4.15亿美元
  • · 利用互联网作恶,美国“阴招”用尽
  • · 警惕,“高仿”邮箱骗局!“黑客”入侵互换两个字母,50万美元险被“劫”走
  • · 中美黑客大决战:8万中国网民席卷欧美,白宫升起五星红旗
  • · 2023年十大开源安全和运营风险
  • · 识破网络钓鱼企图的10个方法
  • 站内热门
    站内头条