เมนู

ไมโครซอฟต์ยืนยันการแฮกโดยกลุ่ม Lapsus$

2022-03-31 Lapsuss (1040)

ไมโครซอฟต์ ยืนยันว่าบัญชีผู้ใช้งานของพนักงานคนหนึ่งถูกยึดครองโดยกลุ่ม Lapsus$

31 มีนาคม 2565
 
    จากเหตุการณ์นี้ทำให้ผู้บุกรุกเข้าถึงและโจรกรรมซอร์สโค้ดบางส่วนได้ โดยล่าสุดข้อมูลขนาด 37GB ซึ่งเกี่ยวกับโครงการภายใน รวมถึง Bing, Cortana และ Bing Maps ถูกเปิดเผย !! อย่างไรก็ตาม ไม่ปรากฏรหัสหรือข้อมูลของลูกค้าได้รับผลกระทบจากเหตุการณ์ข้างต้น โดยทีมตอบสนองด้านความมั่นคงไซเบอร์ได้เร่งระงับเหตุและป้องกันเหตุการณ์ที่อาจเกิดขึ้นในอนาคต ในขณะที่ไมโครซอฟต์อ้างว่าการจัดเก็บโค้ดเป็นความลับมิได้เป็นตัวชี้วัดด้านความมั่นคง รวมถึงการแสดงซอร์สโค้ดก็ไม่อาจนำไปสู่ความเสี่ยงอื่น
 
    ไมโครซอฟต์ได้ตรวจสอบบัญชีที่ถูกยึดครองด้วยระบบข่าวกรองด้านภัยคุกคาม (Threat Intelligence) เมื่อผู้โจมตีเปิดเผยการบุกรุกสู่สาธารณะ โดยจะได้ยกระดับปฏิบัติการเพื่อแทรกแซงและขัดขวางการปฏิบัติการเพื่อลดผลกระทบในวงกว้าง
 
    ไมโครซอฟต์ติดตามกลุ่ม Lapsus$ ในรหัส DEV-0537 ซึ่งมุ่งยึดครอง Credential ในการเข้าสู่ระบบขององค์กรต่างๆ ด้วยวิธีการดังต่อไปนี้
💠 ใช้มัลแวร์ Redline ในการโจรกรรมรหัสผ่านและโทเคน
💠 ซื้อข้อมูล Credential และโทเคนจากฟอรั่มใต้ดินที่ผิดกฎหมาย
💠 จ่ายเงินให้กับพนักงานในองค์กรเป้าหมาย (หรือคู่ค้า/หุ้นส่วนทางธุรกิจ) เพื่อเข้าถึง Credential และการอนุญาตของระบบ MFA (Multi-Factor Authentication)
💠 ค้นหาข้อมูลในพื้นที่สาธารณะซึ่งนำไปสู่การเผยข้อมูล Credential
    ทั้งนี้ Redline Password Stealer เป็นตัวเลือกของมัลแวร์ที่ใช้ในการโจรกรรมข้อมูล Credential โดยมักแพร่กระจายผ่านอีเมลฟิชชิ่ง, แหล่งเผยแพร่ซอฟต์แวร์ละเมิดลิขสิทธิ์ รวมถึงวิดีโอบน YouTube
 
🧨 เมื่อ Lapsus$ ได้ในการเข้าถึง Credential แล้วจะเข้าสู่ระบบขององค์กรผ่านการเชื่อมต่อต่างๆ รวมถึง VPN, Virtual Desktop หรือบริการ Identity Management เช่น Okta เป็นต้น ตลอดจนใช้เทคนิค Session Replay เพื่อโจมตีไปยังกลุ่มแอคเค้าท์ที่ใช้ระบบ MFA ร่วมกับการใช้เทคนิค SIM Swap เพื่อควบคุมหมายเลขโทรศัพท์และดักข้อความ SMS
 
   เมื่อสามารถเข้าสู่ระบบได้แล้ว ผู้บุกรุกจะใช้โปรแกรม AD Explorer เพื่อค้นหาแอคเค้าท์ที่มีสิทธิสูง ซึ่งหากสามารถโจรกรรม Credential ได้สำเร็จก็จะมุ่งเป้าไปยัง Collaboration Platform เช่น SharePoint, Confluence, JIRA, Slack และ Microsoft Teams รวมถึงยังใช้ Credential เหล่านี้ในการเข้าถึงซอร์สโค้ดที่เก็บไว้บน GitLab, GitHub และ Azure DevOps อีกด้วย
 
   ผู้บุกรุกจะรวบรวมข้อมูลอันมีค่าและส่งออกผ่าน NordVPN เพื่อปกปิดตำแหน่งที่ตั้งที่แท้จริง แล้วจึงเริ่มทำลายระบบโครงสร้าง (Infrastructure) ซึ่งนำไปสู่กระบวนการตอบสนองต่อเหตุการณ์คุกคาม โดยผู้บุกรุกจะเฝ้ามองกระบวนการเหล่านี้ผ่านช่องทาง Slack หรือ Microsoft Teams
ไมโครซอฟต์แนะนำให้องค์กรดำเนินการตามขั้นตอนต่อไปนี้เพื่อป้องกันการคุกคามจาก Lapsus$
💠 บังคับการใช้งาน MFA
💠 ต้องการอุปกรณ์ปลายทางที่ดีและเชื่อถือได้
💠 ใช้การยืนยันตัวตนที่ทันสมัยสำหรับ VPN
💠 ปรับปรุงและเฝ้าระวังความมั่นคงในระบบคลาวด์ที่ใช้งาน
💠 พัฒนาความตระหนักเพื่อป้องกันการโจมตีด้วยวิธีการ Social Engineetring
💠 จัดเตรียมแผนปฏิบัติการเพื่อรองรับการบุกรุกโดย DEV-0537
 
   นอกจากการโจมตีไมโครซอฟต์ในครั้งนี้แล้ว กลุ่ม Lapsus$ ยังโจมตีไปยังหน่วยงานขนาดใหญ่อีกหลายราย อาทิ NVIDA, Samsung, Vodafone, Ubisoft และ Mercado Libre ทั้งนี้ เพื่อเป็นการเตรียมพร้อม ทั้ง Security/Network Administrator สามารถศึกษาเทคนิคการโจมตีของกลุ่ม Lapsus$ ได้ที่ https://bit.ly/3NMiRvN