【安全頭條】微軟證實其被Lapsus$勒索集團黑客入侵

1. 微軟證實其被

Lapsus$勒索集團黑客入侵

微軟已經證實，他們的一名員工被Lapsus$黑客組織所侵害，允許威脅參與者訪問并竊取他們的部分源代碼。微軟不依賴代碼的保密性作為安全措施，查看源代碼不會導致風險升高。微軟正在追蹤名為“DEV-0537”的Lapsus$數據勒索組織，并表示他們主要關注獲取初始訪問公司網絡的受損憑證。

一旦獲得網絡訪問權，威脅參與者就會使用AD Explorer查找具有更高權限的帳戶，然后將目標對準開發和協作平臺，如SharePoint、Confluence、JIRA、Slack和Microsoft團隊，這些平臺上的其他憑證會被竊取。黑客組織還使用這些憑據來訪問GitLab、GitHub和Azure DevOps上的源代碼存儲庫，正如我們在對Microsoft的攻擊中看到的那樣。Lapsus$最近對該企業進行了多次攻擊，包括針對英偉達、三星、沃達豐、育碧軟件、自由市場、以及現在的微軟的攻擊。因此，強烈建議安全和網絡管理員通過閱讀微軟的報告來熟悉該團隊使用的策略。[點擊“閱讀原文”查看詳情]

2、Okta證實1月份有2.5%的客戶受到黑客攻擊的影響

訪問管理系統的主要提供商Okta表示，Lapsus$data勒索組織聲稱的網絡攻擊影響了2.5%的客戶，即大約375名客戶。該公司今天宣布了結論，稱其客戶不應采取任何糾正措施。

Okta今天證實，他們在1月份遭遇了一次安全事件，黑客侵入了一名工程師的筆記本電腦，該筆記本電腦可能會為客戶重置密碼。對該漏洞的調查顯示，威脅參與者可以在五天內訪問該筆記本電腦，在此期間，他們可以訪問Okta的客戶支持面板和該公司的Slack服務器。在今天的一份報告中，網絡基礎設施和安全公司Cloudflare透露，其安全事件響應團隊（SIRT）在3月22日凌晨（UTC時間03:30）收到潛在問題的第一次通知后約90分鐘，Lapsus$截圖中的公司電子郵件帳戶被暫停。Cloudflare指出，Okta服務在內部用于集成在身份驗證堆棧中的員工身份，其客戶無需擔心，“除非他們自己使用Okta”。Lapsus$以泄露從三星、英偉達和自由市場、等大公司竊取的專有數據而聞名。該組織還聲稱，它違反了微軟內部的Azure DevOps服務器，并泄露了37 GB的源代碼，據稱這些代碼是用于Bing、Cortana和其他微軟項目的。該組織聲稱的另一個漏洞是LG電子，他們吹噓這是一年內第二次入侵該公司的系統。[點擊“閱讀原文”查看詳情]

3、希臘公共郵政服務因勒索軟件攻擊而離線

希臘國有郵政服務提供商埃爾塔（ELTA）披露了周日發現的一起勒索軟件事件，該事件仍使大多數組織的服務處于離線狀態。周一，ELTA發布了關于此次攻擊的初步聲明，宣布了服務中斷的原因，稱其對整個數據中心的即時響應和隔離有助于減輕影響。

目前，ELTA無法提供郵寄、賬單支付或處理任何形式的金融交易訂單的服務。該組織沒有估計這些服務何時會再次提供。在ELTA Facebook頁面上，用戶還報告了跟蹤包裹和無法訪問網絡標簽服務的問題。目前，該機構的IT團隊正在徹底檢查2500多臺計算機，安裝安全軟件工具，并確保所有惡意負載在重新集成到網絡之前都已被清除。單個后門的存在可能會讓威脅參與者通過橫向移動，再次嘗試大規模加密，從而訪問ELTA的整個公司網絡。在檢查所有系統并恢復正常服務之前，該機構建議客戶使用其子公司ELTA Courier，該公司未受到網絡攻擊的影響。[點擊“閱讀原文”查看詳情]

4、數百款HP打印機易受遠程代碼執行攻擊

惠普發布了三個嚴重漏洞的安全建議，這些漏洞影響了數百款LaserJet Pro、Pagewide Pro、OfficeJet、Enterprise、Large Format和DeskJet打印機型號。

第一個安全公告警告可能導致受影響機器上遠程代碼執行的緩沖區溢出漏洞。該安全問題被追蹤為CVE-2022-3942，由趨勢科技的零日計劃團隊報告。然后根據通用漏洞評分系統（CVSS）計算，該漏洞的嚴重性得分為8.4（高），但HP將該漏洞的嚴重性列為嚴重性。HP已發布了大多數受影響產品的固件安全更新。對于沒有補丁的機型，該公司提供的緩解說明主要圍繞在網絡設置中禁用LLMNR（鏈路本地多播名稱解析）展開。惠普發布的第二份安全公告警告稱，有兩個嚴重漏洞和一個高嚴重性漏洞可被利用，用于信息泄露、遠程代碼執行和拒絕服務。這三個漏洞被追蹤為CVE-2022-24291（高嚴重性分數：7.5）、CVE-2022-24292（嚴重性分數：9.8）和CVE-2022-24293（嚴重性分數：9.8）。報告這些情況的功勞也歸零日計劃團隊。[點擊“閱讀原文”查看詳情]

5、俄羅斯頂級肉類生產商遭遇Windows BitLocker加密攻擊

俄羅斯聯邦獸醫和植物檢疫監督局Rosselkhoznadzor的一份報告稱，總部位于莫斯科的肉類生產商和分銷商Miratorg Agribusiness Holding遭受了一次重大的網絡攻擊，對其IT系統進行了加密。公告指出，攻擊者利用Windows BitLocker功能加密文件，實質上是實施勒索軟件攻擊。據該機構稱，襲擊背后的原因似乎是蓄意破壞，而不是資金，因為米拉托格是俄羅斯最大的食品供應商之一。妥協點是VetIS，這是一個國家信息系統，由獸醫服務機構和從事該領域的公司使用，這很可能是一個供應鏈妥協，盡管在這方面需要更多的澄清。

為了緩解客戶在這些關鍵時刻對食品安全的擔憂，Rosselkhoznadzor強調，Miratorg有著良好的聲譽，因此，考慮到這一點，我們做出了這一例外。最后，該機構建議俄羅斯所有使用VetIS的公司在非易失性媒體上創建文件和數據庫的備份，并將“過度形式主義”放在一邊，相互幫助。[點擊“閱讀原文”查看詳情]