2022年最多产的网络犯罪分子在几个月内基本上都在逃避身份识别,尽管他们的工作方式并不神秘
LAPSUS$ 黑客组织可以说是 2022 年对网络安全的最大威胁,许多知名企业承认在新来者手中进行了违规行为。
Nvidia、LG、微软和Okta等公司是LAPSUS $ 在短短三个月内最著名的受害者之一,直到 3 月下旬,人们对这个神秘的集体知之甚少。
与最近大多数“成功”的黑客不同,LAPSUS$ 的独特之处在于它不使用勒索软件模型,而是采用其他策略通过经济动机的活动勒索受害者。自从最近一次对身份和访问业务 Okta 的供应链攻击以来,该组织已宣布将暂停,但网络犯罪分子将在该组织永久结束很久后研究 LAPSUS$ 的内部运作
在分析 LAPSUS$ 时,最大的不确定性可能是确定谁是网络犯罪组织的幕后黑手。安全专家马库斯·哈钦斯 (Marcus Hutchins)表示,旁观者对这个似乎“既能干又无能”的组织感到困惑。
一方面,该组织声称拥有众多备受瞩目的头皮,即使是最有经验的网络犯罪分子也会自豪地挂在他们的斗篷上。但该组织也展示了一种非常有效的操作安全方法。它没有隐藏在阴影中,而是通过公共 Telegram 频道向所有人宣传其活动,甚至为频道成员提供一种投票方式来决定接下来泄露哪家公司的数据。 
LAPSUS$ Telegram 频道的社区投票
IT 专业人士
“他们看起来像孩子,但声称对黑客攻击顶级公司负责,”哈钦斯说 - 独立安全研究员比尔德米尔卡皮(Bill Demirkapi)对此表示赞同,他说该组织“似乎对 OPSEC 缺乏经验。他们发布了他们的消息,吹嘘可以访问 Microsoft 的内部 DevOps 环境,同时仍然泄露源代码”。
Check Point 的研究人员表示,LAPSUS$ 黑客是葡萄牙人,来自巴西,称其第一次重大违规行为发生在 2021 年 12 月,也就是该行动开始的月份,目标是巴西卫生部和其他政府机构。
彭博社的另一份突发报告显示,整个行动由一名 16 岁的英国牛津郡人领导,其他成员也在英国和巴西。
英国执法部门于 3 月 24 日逮捕了 7 名与 LAPSUS$ 组织有关的人,伦敦市警方不会立即确认是否包括 16 岁。七名被捕者包括年龄在 16 至 21 岁之间的人;他们都已获释,但调查仍在进行中。
微软于 2022 年 3 月发表的一项突破性研究详细介绍了该公司对该组织的调查,揭示了其运作的内部运作方式以及它如何能够破坏地球上一些最大的组织。
微软没有提及该组织的幕后黑手或总部所在地,但表示 LAPSUS$ 是一场大规模的社会工程和勒索活动,以纯粹的勒索和破坏模式运作。
该组织看似幼稚的看法与其毫无疑问的专业知识和实施攻击的复杂性并列。微软表示,LAPSUS$ 使用的攻击方法多种多样、精心设计,其中一些使用频率低于其他更成熟的威胁参与者
微软表示,LAPSUS$ 展示的社会工程策略让“黑客深入了解”员工和公司。该组织的目标是通过窃取的凭据获得对企业的更高访问权限,这些凭据会导致数据盗窃和破坏性攻击,通常带有公司勒索元素。
有人观察到该组织致电服务台,说服他们在研究了他们的工作方式后重置帐户凭据,并进入 Slack 和 Teams 等平台的危机沟通渠道。这要求黑客入侵公司以了解他们如何响应安全事件,以帮助他们逃避检测的方式做出响应。
LAPSUS$ 通过多种方法实现初始访问,包括部署 Redline密码窃取程序和在公共代码存储库中搜索暴露的凭据。它还被发现购买了商业凭证,可能是通过初始访问经纪人-勒索软件团伙 Arvin Club 证实了这一观察。在其他情况下,LAPSUS$ 只是直接向公司员工支付访问权限,这是它在 Telegram 上公开宣传的一种策略。
来自 LAPSUS$ 的招聘活动
IT 专业人士
网络犯罪分子使用远程桌面协议(RDP) 和Citrix 等虚拟桌面基础架构(VDI) 来远程访问企业环境。
LAPSUS$ 使用会话令牌重放等技术绕过多因素身份验证(MFA),并在窃取其密码后向真实帐户持有人发送 MFA 提示。
该组织在 Telegram 聊天频道中表示,在员工睡觉时发送垃圾邮件 MFA 提示很可能会让人们批准这些尝试以关闭通知。
微软表示,LAPSUS$ 还智能地使用了虚拟专用网络,这表明犯罪分子了解云监控服务如何检测可疑活动。例如,它说 LAPSUS$ 选择本地出口点来防止 触发不可能的旅行警报。
该组织还在受害者的云基础设施上创建了虚拟机,以在将业务完全锁定在其云平台之外之前发动进一步的攻击。一旦 LAPSUS$ 实现完全控制,它将确保组织的所有入站和出站电子邮件都转发到其自己的基础设施,在删除系统和资源之前,它会收集尽可能多的数据。此时,在某些情况下,微软表示 LAPSUS$ 会勒索受害者以阻止数据的发布,或者只是将其公开发布到网上。
网络安全研究人员 Soufiane Tahiri 和 Anis Haboubi 对被认为是与 LAPSUS$ 集团相关的钱包地址之一的未经证实的分析显示,比特币的总收入为 3,790.62159317 (1.239亿英镑)。
尽管该组织的加密货币钱包地址的详细信息已提供给其 Telegram 聊天频道的成员,但 LAPSUS$ 或参与对该组织进行调查的任何其他实体尚未证实这一发现。
推荐阅读
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
