🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Công ty Cổ phần Zoli đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân thị trấn Đăk Tô, huyện Đăk Tô, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 ủy ban nhân dân huyện Lâm Hà, Lâm Đồng đã đăng ký tín nhiệm. 🔥                    🔥 Viện kiểm sát nhân dân tỉnh Cao Bằng đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

Microsoft và Okta xác nhận bị LAPSUS$ tấn công

25/03/2022

Hôm thứ Ba, Microsoft xác nhận băng nhóm ransomware LAPSUS$ đã xâm phạm vào vào hệ thống của họ. Nhà cung cấp dịch vụ xác thực Okta cũng cho biết gần 2,5% khách hàng của họ có khả năng bị ảnh hưởng sau vụ vi phạm.

Microsoft cho biết "vụ vi phạm được thực hiện thông qua một tài khoản bị xâm phạm".

Okta đã thừa nhận vụ vi phạm thực hiện thông qua tài khoản của một kỹ sư hỗ trợ khách hàng, kẻ tấn công đã truy cập vào máy tính xách tay của kỹ sư trong khoảng thời gian 5 ngày từ 16 đến 21 tháng 1, nhưng bản thân dịch vụ không bị xâm phạm.

Công ty đã xác định được những khách hàng bị ảnh hưởng và đang liên hệ trực tiếp với họ, đồng thời nhấn mạnh rằng "dịch vụ Okta vẫn hoạt động bình thường và khách hàng không cần thực hiện bất kì hành động sữa chữa nào."

Cloudflare cho biết "trong trường hợp của Okta, chỉ thay đổi mật khẩu của người dùng là không đủ, Kẻ tấn công cũng cần thay đổi mã token phần cứng (FIDO) được cấu hình cho cùng một người. Do đó, sẽ dễ dàng phát hiện các tài khoản bị xâm nhập dựa trên các khóa phần cứng liên quan.

Okta đã không tiết lộ về vụ vi phạm trong hai tháng sau khi sự việc được phát hiện.

Trong một tuyên bố đáp trả Okta, LAPSUS$ tiết lộ rằng Okta đang lưu trữ các khóa Amazon Web Services (AWS) trong Slack và các kỹ sư hỗ trợ có "quyền truy cập quá mức" vào nền tảng truyền thông. "Rủi ro tiềm ẩn đối với khách hàng của Okta là KHÔNG giới hạn, việc đặt lại mật khẩu và MFA có thể dẫn đến sự xâm phạm hoàn toàn hệ thống của nhiều khách hàng".

LAPSUS$

LAPSUS$, xuất hiện lần đầu tiên vào tháng 7 năm 2021, đã gia tăng tấn công trong những tháng gần đây, nhắm mục tiêu vào vô số tổ chức, bao gồm Impresa, Bộ Y tế Brazil, Claro, Embratel, NVIDIA, Samsung, Mercado Libre, Vodafone, và gần đây nhất là Ubisoft.

Phương thức hoạt động chính của nhóm này là đột nhập vào mạng của mục tiêu, lấy cắp dữ liệu nhạy cảm và tống tiền công ty nạn nhân bằng cách de dọa công khai các đoạn dữ liệu bị đánh cắp.

Các kỹ thuật được chúng sử dụng bao gồm các kỹ thuật social engineering trên điện thoại như tráo đổi SIM, xâm phạm tài khoản email cá nhân của nhân viên tại các tổ chức mục tiêu, hối lộ nhân viên, nhà cung cấp hoặc đối tác kinh doanh của công ty để có được quyền truy cập.

Ngoài việc mua thông tin xác thực và các access token từ “dark web” hay tìm kiếm thông tin đăng nhập từ các nguồn công khai, LAPSUS$ cũng triển khai mã độc RedLine Stealer để lấy cắp mật khẩu và session tokens để có quyền truy cập vào tổ chức mục tiêu.

Sau khi truy cập, LAPSUS$ khai thác các lỗ hổng chưa được vá trên các máy chủ Confluence, JIRA và GitLab nội bộ để leo thang đặc quyền trước khi lấy cắp thông tin và xóa các hệ thống và tài nguyên của tổ chức bị xâm phạm.

Để giảm thiểu các sự cố như vậy, Microsoft khuyến nghị các tổ chức nên bắt buộc thực hiện xác thực đa yếu tố (nhưng không dựa trên tin nhắn SMS) sử dụng các tùy chọn xác thực mới như OAuth hoặc SAML, kiểm tra log đăng nhập để tìm kiếm dấu vết của các hoạt động bất thường và giám sát ứng cứu sự cố đối với các truy cập trái phép.

Nguồn: thehackernews.com.

 
scrolltop