標籤: Lapsus$

身份驗證提供商 Okta是最新一家成為備受矚目的 Lapsus$ 駭客行動的受害者，據路透社報導，週二(3/22)，知名駭客組織 Lapsus$發布了據稱包含Okta內部系統敏感資料的截圖後。 Okta在一份聲明試圖淡化了此遭駭事件，表示沒有發現新攻擊的證據。根據 Okta的說法，發現攻擊者曾在今年1月在其第三方的客戶支援工程師帳戶進行社交工程攻擊，Okta 表示，該帳戶在 1 月 16 日至 21 日的五天內處於攻擊者的控制之下，但強調Okta服務並未被入侵，並且仍然完全可以正常運作。Okta發言人Chris Hollis說，我們相信網上分享的截圖與一月的事件有關。根據我們迄今為止的調查，除了 1 月份檢測到的活動之外，沒有證據表明有任何惡意活動正在進行。

Okta顯然在 1 月下旬就意識到了這一事件，但直到本週才披露——這可能會增加其客戶的數據洩露風險。對Okta的任何駭客攻擊都可能對依賴Okta來驗證用戶存取內部系統的公司、大學和政府機構產生影響。

LAPSUS$ extortion group claims to have breached @Okta. They have released 8 photos as proof.

The photos we are sharing has been edited so no sensitive information or user identities are displayed.

Image 1 – 4 attached below. pic.twitter.com/nR8V56dLu2

— vx-underground (@vxunderground) March 22, 2022

根據Lapsus$對Okta說法的回應，駭客聲稱他們竊取了的客戶服務的帳戶，還能夠重新設定Okta大約 95%的客戶密碼的憑證，認為Okta只是在嘗試在淡化其遭駭的嚴重性。根據Dark reading報導，安全研究員Bill Demirkapi檢查了Lapsus$公開Okta內部系統的截圖，表明攻擊者入侵了為 Sykes Enterprises, Inc. 工作的第三方的客戶支援工程師的機器，被感染的個人電腦似乎為 Okta 的客戶工作支援團隊，提供Tier 2的支援。Demirkapi進一步說利用此支援工程師擁有的存取權，Lapsus$ 能夠存取Slack 中的 Okta 聊天消息、Jira 中的客戶支援ticket以及用於協助客戶的超級使用者權限的後端管理工具。正如華爾街日報的報導，駭客聲稱沒有登入或竊取 Okta 的任何數據，而是專注於該公司的客戶，其中包括Cloudflare，Grubhub，Peloton，Sonos，T-Mobile和Engadget母公司雅虎。

根據Okta的最新的聲明，得出的結論是一小部分客戶（約 2.5%）可能受到影響，他們的數據可能已被查看或採取行動。

如果您是 Okta 的客戶並想了解更多資訊，建議您查看過去 90 天的 Okta安全日誌​​以查找可疑活動，或直接與 Okta 聯繫。

Lapsus$於2021 年 7 月首次出現，最近幾個月一直在進行駭客攻擊，在此期間針對大模範企業，包括 Impresa、巴西衛生部、Claro、Embratel、NVIDIA、三星、Mercado Libre、育碧 、Vodafone，以及昨天的Microsoft和LG。

3月23日，來自Lapsus$的最新消息，表示他們有一部分成員要休假至3月30日，這段時間他們會很安靜。駭客休假是不是真的代表沒有攻擊行動呢? 值得我們持續的關注下去 !

有關Lapsus$的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

0e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee

Hamakaze.exe

SHA 256

9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7

mimikatz.exe

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

據觀察，就在今天早上(3月22日) 9 點 17 分南美駭客組織在其Telegram 頻道發布了兩段簡短的訊息，公開了LGE.com 的員工和服務帳戶的所有hash值，並同時也公開微軟Bing、Bing Maps和Cortana的原始碼，此前Lapsus$也曾在此頻道公開外洩從Nvidia和三星竊取得來的數據。

3月20日，Lapsus$ 曾發布了一張截圖，聲稱是微軟的原始碼存儲庫，包括 Bing 和 Cortana，Lapsus$聲稱他們通過入侵 Azure DevOps 伺服器存取了存儲庫，但該截圖在幾分鐘後被Lapsus$刪除，並留言說，暫時刪除，稍後會重新發布(Deleted for now will repost after)微軟沒有就Lapsus$的說法發表公開聲明，但已告訴多家資安媒體它正在調查。

BREAKING

Microsoft allegedly breached.@campuscodi @vxunderground #cybersecurity #infosec @Microsoft pic.twitter.com/FAYl9Y29QT

— Dominic Alvieri (@AlvieriD) March 20, 2022

Microsoft teaser released by Lapsus$ pic.twitter.com/ETWBG81WCS

— Dominic Alvieri (@AlvieriD) March 20, 2022

今天在關於微軟的訊息中包括一個 483.7 KB 的檔案，Lapsus$ 聲稱該檔案包含微軟Bing搜索引擎、Bing地圖服務和語音助理Cortana的部分原始碼，該檔案包含其聲稱已竊取的 90% 的 Bing 地圖數據，以及聲稱已竊取的 45% 的 Bing 和 Cortana 數據。

Lapsus$ has released what claimed to be some of the source codes for Bing, Bing Maps and Cortana. pic.twitter.com/ybntf4i7lq

— Brett Callow (@BrettCallow) March 22, 2022

根據Emsisoft的威脅分析師 Brett Callow告訴資安媒體itwire，最近Lapsus$攻擊了許多大公司，鑑於微軟和Lapsus$過去的受害者都沒有否認，因此他們聲稱攻擊了微軟並非完全不可信。

另外在關於LG的訊息中，Lapsus$稱這是他們在 1 年內第二次入侵LG，並承諾會很快發布LG的infrastructure confluence。2020年6 月底，LG也曾被Maze勒索軟體攻擊，被竊40GB的Python原始碼。

有關Lapsus$的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

0e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee

Hamakaze.exe

SHA 256

9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7

mimikatz.exe

繼Nvidia在二月份遭Lapsus$攻擊後，上週六(3/5)傳出韓國科技巨頭也遭Lapsus$攻擊。綜合資安外媒報導，入侵Nvidia的同一個組織Lapsus$也成功入侵了三星，並在其Telegram頻道上發布了三星近 190GB 的機密資料，包括專有資訊(proprietary information)、應用程式的原始碼和與各種三星項目相關的數據存儲庫，更具體地說，Lapsus$ 聲稱擁有下列數據:

*Samsung Knox身份驗證碼

*生物特徵解鎖操作的演算法

*所有最新三星設備的Bootloader原始碼

*安裝在所有三星設備的TrustZone環境上Trusted Applet的原始碼，以及每種類型的 TEE 操作系統（QSEE、TEEGris 等）的特定程式碼，這包括DRM模組和 keymaster/gatekeeper 的數據。

*用於授權和驗證三星帳戶的技術的完整原始碼，包括 API 和服務

*來自高通的機密原始碼

*三星activation servers的原始碼

LAPSUS$ extortion group have successfully breached both NVIDIA & Samsung.

-March 1st: They demand NVIDIA open-source its drivers, or else they will
-March 4th: LAPSUS$ released Samsung proprietary source code.

See attached images for more details directly from LAPSUS$ pic.twitter.com/U3VD7R2KRl

— vx-underground (@vxunderground) March 4, 2022

目前尚不清楚三星的系統是什麼時候被駭客入侵，以及駭客與三星進行了任何類型聯繫或談判，但如果上述資料準確無誤，這些重大數據的外洩，可對三星產生嚴重的影響。

Lapsus$ 將發佈的190GB數據拆分為三個壓縮檔案，將資料上傳到網路，並以torrent 形式提供下載，Lapsus$還表示由於下載者數量眾多，將部署更多

伺服器以提高下載速度。

據悉，從 torrent下載的一個ReadMe.txt中，解釋了三個 7Zip檔案的內如下容:

Part1.7z：包含有關 Security/Defense/Knox/Bootloader/TrustedApps 和其他各種項目的原始碼和相關數據的轉儲

Part2.7z：包含有關設備安全和加密的原始碼和相關數據的轉儲

Part3.7z：包含來自三星 Github 的各種存儲庫：行動防禦工程、三星帳戶後端、三星通行證後端/前端和 SES（Bixby、Smartthings、商店）

根據韓聯社報導，三星正在評估情況。

有關Lapsus$的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

0e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee

Hamakaze.exe

SHA 256

9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7

mimikatz.exe

3/8更新: 根據彭博的新聞報導，三星證實內部資料在駭客入侵中被竊，在初步調查中發現有關Galaxy手機運作的原始碼外洩，但沒有證據顯示外洩的資料包含員工或用戶的個資。

Nvidia已於 3 月 1 日證實在 2 月 23 日曝光的網路攻擊事件，Nvidia稱沒有發現勒索軟體攻擊的跡象，但攻擊者從其系統存取了專有資訊(proprietary information)員工登錄數據和DLSS 的原始碼，一個名為 Lapsus$ 的南美駭客組織稱Nvidia網路攻擊事件是其所為，並已竊取Nvidia 高達1 TB的數據。操作勒索軟體的駭客組織多以勒索贖金為目的，但Lapsus$ 提出讓人費解的要求，從最初支付贖金的要求，到後來提出了包括更新30款韌體、移除任何加密挖礦的限制技術及開源Nvidia用於 Windows、MacOS 和 Linux 系統上的GPU驅動程式。

上週末，Lapsus$ 分享了有關入侵的細節並洩露了約20GB的檔案，其中包含從 Nvidia系統竊取的數據以及71,335員工密碼的雜湊值，駭客要求Nvidia透過軟體更新30款韌體，以取消顯卡的挖礦限制，否則將公佈產品的硬體資料，另外根據TechPowerUp報導，Lapsus$已經公佈Nvidia深度學習超高採樣（DLSS）技術的部份原始碼。

目前尚不清楚Nvidia是否會設法取回了他們的數據，Lapsus$還要求 Nvidia承諾在 3 月 4 日星期五之前將其用於 Windows、macOS 和 Linux 設備的 GPU 驅動程式開源 ，否則將公佈Nvidia近期上市GPU產品的完整檔案（包括 RTX 3090Ti）。然而，Nvidia預計此前攻擊事件不會對業務或客戶服務造成任何干擾，並已通知執法部門及正在與資安專家合作以遏制攻擊的任何影響。

Lapsus$ 於 2021 年 12 月攻擊了巴西衛生部，並竊取了與該國免疫計劃相關的數據。今年 1 月，攻擊者還針對葡萄牙最大的媒體集團Impresa，並破壞了其所有網站。2022年2月，沃達豐葡萄牙(Vodafone Portugal)遭受Lapsus$的攻擊，導致Vodafone Portugal 4G/5G網路、短訊、語音和電視等服務中斷。

有關Lapsus$的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

0e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee

Hamakaze.exe

SHA 256

9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7

mimikatz.exe