Lapsus$駭不停,駭入身份驗證供應商Okta!

身份驗證提供商 Okta是最新一家成為備受矚目的 Lapsus$ 駭客行動的受害者,據路透社報導,週二(3/22),知名駭客組織 Lapsus$發布了據稱包含Okta內部系統敏感資料的截圖後。 Okta在一份聲明試圖淡化了此遭駭事件,表示沒有發現新攻擊的證據。根據 Okta的說法,發現攻擊者曾在今年1月在其第三方的客戶支援工程師帳戶進行社交工程攻擊,Okta 表示,該帳戶在 1 月 16 日至 21 日的五天內處於攻擊者的控制之下,但強調Okta服務並未被入侵,並且仍然完全可以正常運作。Okta發言人Chris Hollis說,我們相信網上分享的截圖與一月的事件有關。根據我們迄今為止的調查,除了 1 月份檢測到的活動之外,沒有證據表明有任何惡意活動正在進行。

Okta顯然在 1 月下旬就意識到了這一事件,但直到本週才披露——這可能會增加其客戶的數據洩露風險。對Okta的任何駭客攻擊都可能對依賴Okta來驗證用戶存取內部系統的公司、大學和政府機構產生影響。

根據Lapsus$對Okta說法的回應,駭客聲稱他們竊取了的客戶服務的帳戶,還能夠重新設定Okta大約 95%的客戶密碼的憑證,認為Okta只是在嘗試在淡化其遭駭的嚴重性。根據Dark reading報導,安全研究員Bill Demirkapi檢查了Lapsus$公開Okta內部系統的截圖,表明攻擊者入侵了為 Sykes Enterprises, Inc. 工作第三方的客戶支援工程師的機器,被感染的個人電腦似乎為 Okta 的客戶工作支援團隊,提供Tier 2的支援。Demirkapi進一步說利用此支援工程師擁有的存取權,Lapsus$ 能夠存取Slack 中的 Okta 聊天消息、Jira 中的客戶支援ticket以及用於協助客戶的超級使用者權限的後端管理工具。正如華爾街日報的報導,駭客聲稱沒有登入或竊取 Okta 的任何數據,而是專注於該公司客戶,其中包括Cloudflare,Grubhub,Peloton,Sonos,T-Mobile和Engadget母公司雅虎。

根據Okta的最新的聲明,得出的結論是一小部分客戶(約 2.5%)可能受到影響,他們的數據可能已被查看或採取行動。

如果您是 Okta 的客戶並想了解更多資訊,建議您查看過去 90 天的 Okta安全日誌​​以查找可疑活動,或直接與 Okta 聯繫。

Lapsus$於2021 年 7 月首次出現,最近幾個月一直在進行駭客攻擊,在此期間針對大模範企業,包括 Impresa、巴西衛生部、Claro、Embratel、NVIDIA三星、Mercado Libre、育碧 、Vodafone,以及昨天的MicrosoftLG

3月23日,來自Lapsus$的最新消息,表示他們有一部分成員要休假至3月30日,這段時間他們會很安靜。駭客休假是不是真的代表沒有攻擊行動呢? 值得我們持續的關注下去 !

有關Lapsus$的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

0e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee

Hamakaze.exe

SHA 256

9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7

mimikatz.exe

Lapsus$又出手!微軟旗下Bing 、Bing Maps和Cortana的原始碼疑遭外洩!同時韓國LG的員工和服務帳戶的hash值也遭公開!

據觀察,就在今天早上(3月22日) 9 點 17 分南美駭客組織在其Telegram 頻道發布了兩段簡短的訊息,公開了LGE.com 的員工和服務帳戶的所有hash值,並同時也公開微軟Bing、Bing Maps和Cortana的原始碼,此前Lapsus$也曾在此頻道公開外洩從Nvidia三星竊取得來的數據。

Lapsus$的兩段訊息

3月20日,Lapsus$ 曾發布了一張截圖,聲稱是微軟的原始碼存儲庫,包括 Bing 和 Cortana,Lapsus$聲稱他們通過入侵 Azure DevOps 伺服器存取了存儲庫,但該截圖在幾分鐘後被Lapsus$刪除,並留言說,暫時刪除,稍後會重新發布(Deleted for now will repost after)微軟沒有就Lapsus$的說法發表公開聲明,但已告訴多家資安媒體它正在調查。

今天在關於微軟的訊息中包括一個 483.7 KB 的檔案,Lapsus$ 聲稱該檔案包含微軟Bing搜索引擎、Bing地圖服務和語音助理Cortana的部分原始碼,該檔案包含其聲稱已竊取的 90% 的 Bing 地圖數據,以及聲稱已竊取的 45% 的 Bing 和 Cortana 數據。

根據Emsisoft的威脅分析師 Brett Callow告訴資安媒體itwire,最近Lapsus$攻擊了許多大公司,鑑於微軟和Lapsus$過去的受害者都沒有否認,因此他們聲稱攻擊了微軟並非完全不可信。

另外在關於LG的訊息中,Lapsus$稱這是他們在 1 年內第二次入侵LG,並承諾會很快發布LG的infrastructure confluence。2020年6 月底,LG也曾被Maze勒索軟體攻擊,被竊40GB的Python原始碼。

有關Lapsus$的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

0e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee

Hamakaze.exe

SHA 256

9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7

mimikatz.exe

Lapsus$又出擊,科技巨擘三星Samsung疑遭殃,傳出被盜190GB原始碼,高通也被波及

Nvidia在二月份遭Lapsus$攻擊後,週六(3/5)傳出韓國科技巨頭也遭Lapsus$攻擊。綜合資安外媒報導,入侵Nvidia的同一個組織Lapsus$也成功入侵了三星,並在其Telegram頻道上發布了三星近 190GB 的機密資料,包括專有資訊(proprietary information)、應用程式的原始碼和與各種三星項目相關的數據存儲庫,更具體地說,Lapsus$ 聲稱擁有下列數據:

*Samsung Knox身份驗證碼

*生物特徵解鎖操作的演算法

*所有最新三星設備的Bootloader原始碼

*安裝在所有三星設備的TrustZone環境上Trusted Applet的原始碼,以及每種類型的 TEE 操作系統(QSEE、TEEGris 等)的特定程式碼,這包括DRM模組和 keymaster/gatekeeper 的數據。

*用於授權和驗證三星帳戶的技術的完整原始碼,包括 API 和服務

*來自高通的機密原始碼

*三星activation servers的原始碼

目前尚不清楚三星的系統是什麼時候被駭客入侵,以及駭客與三星進行了任何類型聯繫或談判,但如果上述資料準確無誤,這些重大數據的外洩,可對三星產生嚴重的影響。

截圖中顯示了Samsung軟體中的C/C++ 指令

Lapsus$ 將發佈的190GB數據拆分為三個壓縮檔案,將資料上傳到網路,並以torrent 形式提供下載,Lapsus$還表示由於下載者數量眾多,將部署更多

伺服器以提高下載速度。

據悉,從 torrent下載的一個ReadMe.txt中,解釋了三個 7Zip檔案的內如下容:

Part1.7z:包含有關 Security/Defense/Knox/Bootloader/TrustedApps 和其他各種項目的原始碼和相關數據的轉儲

Part2.7z:包含有關設備安全和加密的原始碼和相關數據的轉儲

Part3.7z:包含來自三星 Github 的各種存儲庫:行動防禦工程、三星帳戶後端、三星通行證後端/前端和 SES(Bixby、Smartthings、商店)

根據韓聯社報導,三星正在評估情況。

有關Lapsus$的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

0e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee

Hamakaze.exe

SHA 256

9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7

mimikatz.exe

3/8更新: 根據彭博的新聞報導,三星證實內部資料在駭客入侵中被竊,在初步調查中發現有關Galaxy手機運作的原始碼外洩,但沒有證據顯示外洩的資料包含員工或用戶的個資。

Nvidia遭受的網路攻擊疑與Lapsus$勒索軟體有關,贖金已不能滿足駭客?! Lapsus$要Nvidia永久開源GPU的驅動程式!

Photo Credit: The Hacker News

Nvidia已於 3 月 1 日證實在 2 月 23 日曝光的網路攻擊事件,Nvidia稱沒有發現勒索軟體攻擊的跡象,但攻擊者從其系統存取了專有資訊(proprietary information)員工登錄數據和DLSS 的原始碼,一個名為 Lapsus$ 的南美駭客組織稱Nvidia網路攻擊事件是其所為,並已竊取Nvidia 高達1 TB的數據。操作勒索軟體的駭客組織多以勒索贖金為目的,但Lapsus$ 提出讓人費解的要求,從最初支付贖金的要求,到後來提出了包括更新30款韌體、移除任何加密挖礦的限制技術及開源Nvidia用於 Windows、MacOS 和 Linux 系統上的GPU驅動程式。

上週末,Lapsus$ 分享了有關入侵的細節並洩露了約20GB的檔案,其中包含從 Nvidia系統竊取的數據以及71,335員工密碼的雜湊值,駭客要求Nvidia透過軟體更新30款韌體,以取消顯卡的挖礦限制,否則將公佈產品的硬體資料,另外根據TechPowerUp報導,Lapsus$已經公佈Nvidia深度學習超高採樣(DLSS)技術的部份原始碼。

截圖中顯示了Lapsus$聲稱是DLSS技術的原始碼檔案列表

目前尚不清楚Nvidia是否會設法取回了他們的數據,Lapsus$還要求 Nvidia承諾在 3 月 4 日星期五之前將其用於 Windows、macOS 和 Linux 設備的 GPU 驅動程式開源 ,否則將公佈Nvidia近期上市GPU產品的完整檔案(包括 RTX 3090Ti)。然而,Nvidia預計此前攻擊事件不會對業務或客戶服務造成任何干擾,並已通知執法部門及正在與資安專家合作以遏制攻擊的任何影響。

Lapsus$ 於 2021 年 12 月攻擊了巴西衛生部,並竊取了與該國免疫計劃相關的數據。今年 1 月,攻擊者還針對葡萄牙最大的媒體集團Impresa,並破壞了其所有網站。2022年2月,沃達豐葡萄牙(Vodafone Portugal)遭受Lapsus$的攻擊,導致Vodafone Portugal 4G/5G網路、短訊、語音和電視等服務中斷。

有關Lapsus$的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

0e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee

Hamakaze.exe

SHA 256

9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7

mimikatz.exe