Microsoft, Lapsus$ Grubu Tarafından Saldırıya Uğradıklarını Doğruladı

Microsoft, çalışanlarından birinin Lapsus$ hack grubu tarafından siber saldırıya uğradığını doğruladı. Açıklamaya göre tehdit aktörleri, şirketin kaynak kodlarına erişerek bir kısmını ise çaldı.

Lapsus$ çetesi, Microsoft’un Azure DevOps sunucusundan çalınan 37GB’lık kaynak kodu yayınladı. Görünüşe göre çalınan kaynak kodu, Bing, Cortana ve Bing Haritalar dahil olmak üzere çeşitli dahili Microsoft projeleri için kullanılmakta.

Sızan proje kaynak kodları

Bu gece yayınlanan yeni bir blog gönderisinde Microsoft, çalışanlarının hesaplarından birinin Lapsus$ tarafından ele geçirildiğini ve kaynak kod havuzlarına sınırlı erişim sağladığını doğruladı.

Microsoft, yapmış olduğu açıklamada Lapsus$ tehdit aktörleri hakkında şu ifadeleri kullandı: “Gözlemlenen etkinliklere hiçbir müşteri kodu veya verisi çalınmadı. Araştırmamız sonucunda, kodlara sınırlı erişim sağlayan tek bir hesabın güvenliğinin ihlal edildiğini tespit ettik. Siber güvenlik müdahale ekiplerimiz, güvenliği ihlal edilen hesabı düzeltmek ve daha fazla etkinliği önlemek için hızla devreye girdi.”

“Ekibimiz, tehdit aktörleri izinsiz girişlerini kamuya açıkladığı sırada, güvenliği ihlal edilmiş hesabı zaten tehdit istihbaratına dayalı olarak araştırıyordu. Bu kamuya açıklama, ekibimizin müdahale etmesine ve operasyonun ortasında aktöre müdahale etmesine olanak tanıyarak daha geniş etkiyi sınırlayarak eylemimizi hızlandırdı.”

Microsoft, hesabın nasıl ele geçirildiğini paylaşmasa da, Lapsus çetesinin birden fazla saldırıda gözlemlenen taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında genel bir çerçeve sağladı.

Güvenliği ihlal edilmiş kimlik bilgilerine odaklanma

Microsoft, Lapsus$ veri gasp grubunu ‘DEV-0537’ olarak kodlamış durumda ve öncelikle şirket ağlarına ilk erişim için güvenliği ihlal edilmiş kimlik bilgilerini almaya odaklandıklarını söylüyor.

Bu kimlik bilgileri aşağıdaki yöntemler kullanılarak elde ediliyor:

Redline şifre hırsızı, kimlik bilgilerini çalmak için tercih edilen kötü amaçlı yazılım haline geldi ve yaygın olarak kimlik avı e-postaları, sulama delikleri, warez siteleri ve YouTube videoları aracılığıyla dağıtılıyor.

Laspsus$, güvenliği ihlal edilmiş kimlik bilgilerine eriştiğinde, bunu bir şirketin VPN’ler, Sanal Masaüstü altyapısı veya Ocak ayında ihlal ettikleri Okta gibi kimlik yönetimi hizmetleri dahil olmak üzere halka açık cihazlarına ve sistemlerine giriş yapmak için kullanıyor.

Bir ağa erişim sağladıklarında, tehdit aktörleri daha yüksek ayrıcalıklara sahip hesapları bulmak için AD Explorer’ı kullanır ve ardından SharePoint, Confluence, JIRA, Slack ve Microsoft Teams gibi diğer kimlik bilgilerinin çalındığı geliştirme ve işbirliği platformlarını hedefler.

Bilgisayar korsanlığı grubu, Microsoft’a yapılan saldırıda gördüğümüz gibi, GitLab, GitHub ve Azure DevOps’taki kaynak kod havuzlarına erişmek için de bu kimlik bilgilerini kullanmaktadır.

Microsoft, raporlarında “DEV-0537’nin Confluence, JIRA ve GitLab’daki güvenlik açıklarından yararlandığı da biliniyor.”

Lapsus$’a karşı koruma

Microsoft, kurumsal varlıkların Lapsus$ gibi tehdit aktörlerine karşı korunması için aşağıdaki adımları gerçekleştirmesini önerir:

Lapsus$, NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre ve şimdi Microsoft’a yönelik olanlar da dahil olmak üzere, son zamanlarda çeşitli kuruluşlara karşı çok sayıda saldırı gerçekleştirdi.

Bu nedenle, güvenlik ve ağ yöneticilerinin Microsoft’un raporunu okuyarak bu grup tarafından kullanılan taktikler hakkında bilgi sahibi olmaları şiddetle tavsiye edilir.

Kaynak: bleepingcomputer.com

Diğer Haberler

Lapsus$, Microsoft Kaynak Kod Depolarını Hackledi Mi?
Lapsus$ Durmuyor Şimdi de Okta
Yeni Keşfedilen Bios Zafiyeti Milyonlarca Dell Cihazı Etkiliyor

Exit mobile version