استخبارات الخصم

[تحديث] تحليل مفصل لمجموعة LAPSUS $ الإجرامية الإلكترونية التي اخترقت نفيديا ومايكروسوفت وأوكتا وجلوبانت

April 4, 2022

دقيقة

جدول المحتوى

مثال H2

مصدر: A1الصناعة: تكنولوجيا المعلومات والتكنولوجياالمنطقة: الولايات المتحدة الأمريكيةالفئة: استخبارات الخصم

ملخص تنفيذي

تحديث: الهدف الأخير لمجموعة Lapsus$ ransomware هو عملاق تكنولوجيا المعلومات والبرمجيات Globant. تم تحديث هذه المقالة بتحليل الهجوم على Globant، والذي ظهر في 30 مارس 2022.
كلاود سيكمنصة مراقبة المخاطر الرقمية الرائدة الجيل السادس عشر اكتشفت منشورًا على Telegram، حيث شاركت بيانات اعتماد موظف Nvidia، وكود مصدر Samsung إلى جانب أن أحدث إضافة إلى تلك الأهداف البارزة بالفعل هي Cortana من Microsoft ورمز مصدر Bing وتم استخراج بيانات عملاء Okta عملاق SSO.
زعمت عصابة Lapsus $ ransomware أنها اخترقت Nvidia وتستهدف الآن Samsung بالاختراق. تدعي أيضًا أنها تمكنت من الوصول إلى شفرة المصدر المستخدمة في هواتف Samsung Galaxy الذكية وبيانات عملاء Okta وما إلى ذلك.
قامت عصابة برامج الفدية بتسريب شفرة المصدر وبيانات الاعتماد وشهادات توقيع الكود وشفرة المصدر إلى السائق. تكشف البيانات المسربة عن إمكانية حصول الجهات الفاعلة المهددة على وصول غير مصرح به إلى البيانات الشخصية والملكية والملكية الفكرية (IP) الخاصة بـ Nvidia وقد سربت أيضًا 90٪ من شفرة المصدر لخرائط Bing و Bing و Cortana بدعوى أنها تبلغ 45٪.
أثناء كتابة هذا التقرير، اكتشفنا أن PII (معلومات التعريف الشخصية) أو معلومات dox المتعلقة بعصابة Lapsus $ ransomware قد تم إصدارها في منتدى الجرائم الإلكترونية باللغة الروسية.

This screenshot was posted on the telegram group and while analyzing closely we can see that they have access to Jira, Slack, G-Suite and other internal applications as well. RDP access is being used in the screenshot — تم نشر لقطة الشاشة هذه على مجموعة Telegram وأثناء التحليل عن كثب يمكننا أن نرى أنه يمكنهم الوصول إلى Jira و Slack و G-Suite والتطبيقات الداخلية الأخرى أيضًا. يتم استخدام الوصول إلى RDP في لقطة الشاشة

التحليل والإسناد

معلومات من تيليجرام

في 22 مارس 2022، ادعت المجموعة تسريب شفرة مصدر خرائط Bing و Bing و Cortana. أكد فريق استخبارات التهديدات لدينا أن هذه الادعاءات صحيحة، بعد فترة وجيزة من وجود مدونات رسمية من مايكروسوفت و أوكتا تأكيد الخرق.

*معلومات مسربة تمت مشاركتها على قنوات Telegram*

مرتكبو الاختراق الأصليون

من المعروف أن مجموعة LAPSUS $ الإجرامية الإلكترونية تستغل الحلقة الأضعف في السلسلة الأمنية لشبكة الشركات: الأخطاء البشرية والممارسات السيئة.

يحققون الوصول الأولي باستخدام التكتيكات التالية:

سجلات سارقي البرامج الضارة من Redline، والتي يمكن فهمها هنا
الأسواق الشعبية مثل الأصدقاء والسوق الروسي للحصول على السجلات وبيانات الاعتماد ورموز الجلسة للوصول إليها.
من المعروف أنهم يدفعون للمطلعين لتزويدهم بـ VPN و VDI (citrix) وموفري الهوية وحتى الوصول إلى RDP

Lapsus Recruitment Post — وظيفة لابسوس للتوظيف

الأسرار المتاحة للجمهور على مستودعات github/gitlab

تتضمن الخطوات التالية تصعيد الامتيازات وما بعد الاستغلال:

استغلال الثغرات الموجودة التي تشمل الإصدارات غير المصححة من خوادم Jira و Confluence و Fortiguard و Microsoft Exchange وما إلى ذلك. لقد أنشأنا قائمة بنقاط الضعف المنسقة التي تستهدفها
الوصول إلى أنظمة التحكم في الإصدار والبحث في المستودعات الخاصة للوصول إلى الأسرار والأحجار الكريمة
كما يمكنهم الوصول إلى صناديق البريد/برامج التعاون مثل Slack للوصول إلى بيانات الاعتماد التي تتم مشاركتها بنص عادي.

They have highlighted the post exploitation steps they took as a part of response to Okta’s latest blog. — *لقد سلطوا الضوء على مرحلة ما بعد الاستغلال* الخطوات التي اتخذوها كجزء من *ردًا على أحدث مدونة Okta.*

تحليل التسرب من Microsoft:

ذكرت Microsoft في مدونة رسمية اليوم ما يلي:

«هذا الأسبوع، قدم الممثل ادعاءات عامة بأنه تمكن من الوصول إلى Microsoft واستأصل أجزاء من شفرة المصدر. لم يتم تضمين رمز العميل أو البيانات في الأنشطة التي تمت ملاحظتها. وجد تحقيقنا أن حسابًا واحدًا قد تم اختراقه، مما يمنح وصولاً محدودًا. انخرطت فرق الاستجابة للأمن السيبراني لدينا بسرعة لمعالجة الحساب المخترق ومنع المزيد من النشاط. لا تعتمد Microsoft على سرية التعليمات البرمجية كإجراء أمني ولا يؤدي عرض شفرة المصدر إلى زيادة المخاطر».

يحتوي التسرب على 56484 دليلاً، 333743 ملفًا والشفرة المصدرية لكورتانا وخرائط بنج وبينغ. الحجم الإجمالي للبيانات المسربة هو 37.8 جيجابايت.

يحتوي التسرب أيضًا على العديد من نقاط النهاية الحساسة مثل تلك المذكورة في لقطة الشاشة أعلاه. وبالمثل، هناك 135 ملفًا .pfx موجودة في التسرب. يحتوي ملف pfx على شهادة SSL (المفتاح العام) والمفتاح الخاص المقابل. يمكن استخدامها بدورها بشكل ضار.

هناك ملفات وثائق بالإضافة إلى ملفات pdf داخلية:

من خلال النظر إلى الملفات يمكننا استنتاج ما يلي:

لم تتأثر بيانات العميل
لم يتم تسريب أي معلومات شخصية
تم تسريب شفرة المصدر مع الشهادات وملفات pfx
مجموعة Lapsus$ ليست قوية جدًا فيما يتعلق بالأمن التشغيلي حيث قاموا بنشر إثبات المفهوم في قناة Telegram بينما كانت عملية التسلل لا تزال جارية.

تحليل أوكتا بريك:

أصدرت Okta أيضًا بيانًا سابقًا في شكل مدونة تنص على:

«اكتشفت Okta محاولة فاشلة لاختراق حساب مهندس دعم العملاء الذي يعمل لدى مزود تابع لجهة خارجية. كجزء من إجراءاتنا المعتادة، قمنا بتنبيه المزود إلى الموقف، مع إنهاء جلسات Okta النشطة للمستخدم في نفس الوقت وتعليق حساب الفرد. وبعد هذه الإجراءات، قمنا بمشاركة المعلومات ذات الصلة (بما في ذلك عناوين IP المشبوهة) لاستكمال تحقيقهم، والذي كان مدعومًا من شركة الطب الشرعي التابعة لجهة خارجية». «بعد تحليل شامل لهذه الادعاءات، خلصنا إلى أن نسبة صغيرة من العملاء - حوالي 2.5٪ - من المحتمل أن يكونوا قد تأثروا وربما تم عرض بياناتهم أو اتخاذ إجراء بشأنها. لقد حددنا هؤلاء العملاء ونتواصل معهم مباشرة. إذا كنت أحد عملاء Okta وتأثرت، فقد تواصلنا بالفعل مباشرة عبر البريد الإلكتروني. نحن نشارك هذا التحديث المؤقت، بما يتفق مع قيمنا لنجاح العملاء والنزاهة والشفافية»

ردًا على البيان أعلاه، أصدرت مجموعة Lapsus$ أيضًا رسالة يمكن تلخيصها في النقاط التالية:

لقد نجحوا في اختراق حساب المستخدم المتميز/المسؤول الذي كان بإمكانه الوصول إلى لوحات Slack و Jira و Confluence وما إلى ذلك.
من المشكوك فيه أن مهندس دعم العملاء كان لديه حق الوصول إلى حوالي 8.6 ألف قناة Slack والتطبيقات الداخلية.
كان لديهم إمكانية الوصول إلى أسرار AWS الداخلية وأزواج المفاتيح/مفاتيح API الأخرى حيث تمت مشاركتها بنص عادي عبر Slack ورسائل البريد الإلكتروني
كان لدى الحساب المخترق القدرة على إعادة تعيين كلمة المرور و MFA لـ ~ 95٪ من عملائه

The screenshot was shared by Lapsus as a POC claiming they had access to Slack and other applications. — *تمت مشاركة لقطة الشاشة بواسطة Lapsus باعتبارها POC مدعية أن لديها إمكانية الوصول إلى Slack والتطبيقات الأخرى.*

تحليل تسرب جلوبانت:

لم تطعن Globant في تأكيد رسمي في المطالبة بمبلغ Lapsus $. أصدرت Globant البيان التالي:

«لقد اكتشفنا مؤخرًا أن قسمًا محدودًا من مستودع الرموز الخاص بشركتنا قد تعرض للوصول غير المصرح به. لقد قمنا بتفعيل بروتوكولات الأمان الخاصة بنا ونجري تحقيقًا شاملاً. وفقًا لتحليلنا الحالي، اقتصرت المعلومات التي تم الوصول إليها على شفرة مصدر معينة والوثائق المتعلقة بالمشروع لعدد محدود جدًا من العملاء. حتى الآن، لم نعثر على أي دليل على أن مناطق أخرى من أنظمة البنية التحتية لدينا أو تلك الخاصة بعملائنا قد تأثرت»

يحتوي تسرب البيانات بسعة 70 جيجابايت على مفاتيح عامة وخاصة (SSH و SSL) موجودة في التسرب كجزء من شفرة المصدر الخاصة بهم. وتتكون من المعلومات التالية لعدد من عملائها:

ملفات الاعتماد المسربة:

معلومات حساسة ومعلومات تحديد الهوية الشخصية المسربة:

تسربت ملفات SQL:

معلومات من منتدى الجريمة الإلكترونية

ظهرت مجموعة Lapsus Ransomware في أوائل يناير 2022.

تعمل المجموعة بنشاط عبر قناة Telegram الخاصة بها وتتفاعل مع المشتركين. إنهم يبقون المشتركين على اطلاع دائم بانتهاكات البيانات القادمة واستطلاعات الرأي المضيفة.
لقد صادفنا مؤخرًا منشورًا على منتدى الجرائم الإلكترونية الناطق باللغة الروسية والذي ذكر PII كمشغل لمجموعة Lapsus $.

تعرض المعلومات النقطية الكثير من المعلومات الشخصية:
- اسم: أريون كورتاج
- الاهتمامات: ماين كرافت، صيد الأسماك، البيع لمدة 0 يوم
- العمر: 16 سنة
- العنوان المحتمل: إسبانيا
- الجنسية: بريطانية
- تاريخ الميلاد: 19 فبراير 2005
- رسائل البريد الإلكتروني الشخصية:

anglingdirect@protonmail.com، breachbase@protonmail.com، doxbinwhite@protonmail.com، arionkurtajtab@gmail.com، arionkurtajgaming@outlook.com، arionkurtajphone@gmail.com، arionkurtaj321@gmail.com، arionkurtaj1902@gmail.com، arionkurtajownagehosting@gmail.com

الأسماء المستعارة:

نقاط الضعف والتعرضات الشائعة (CVE)

استهدفت عصابة Lapsus $ سابقًا منظمة في نيبال وتم نشر مدونة تحقيق لنفس الشيء تشير إلى CVEs المستهدفة.

سيارات الدفع الرباعي المستهدفة من قبل Lapsus$CVE-2022-21702: ثغرة XSS في GrafanACVE-2022-0510: انعكست XSS في Packagist pimcore/pimcore قبل 10.3.1.CVE-2022-0139: الاستخدام بعد الاستخدام المجاني في مستودع GitHub radareorg/radare2 قبل 5.6.0CVE-2021-45328: إعادة توجيه عنوان URL إلى موقع غير موثوق به («إعادة توجيه مفتوحة») عبر عناوين URL الداخلية SCVE-2021-45327: الوثوق بأساليب إذن HTTP على جانب الخادم عند الرجوع إلى المسؤول أو المستخدم الضعيف APICVE-2021-45326: توجد ثغرة CSRF في Gitea قبل 1.5.2 عبر مسارات API SCVE-2021-45325: توجد ثغرة SSRF في Gitea قبل 1.7.0 باستخدام OpenID URLCVE- 2021-44957: توجد ثغرة أمنية في تجاوز سعة المخزن المؤقت العالمية في ffjpeg حتى 01.01.2021CVE-2021-44956: توجد ثغرتان في تجاوز سعة المخزن المؤقت المستندة إلى الكومة في ffjpeg حتى 01.01.2021CVE-2021-44864: TP-Link WR886N 3.0 1.0.1 الإصدار 150127 Rel.34123n عرضة لتجاوز سعة المخزن المؤقت VVE-2021-34473: ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد لخادم Microsoft Exchange CVE-2021-31207: ميزة أمان خادم Microsoft Exchange تجاوز الثغرة الأمنية CVE-2021-26858: ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد لخادم ميكروسوفت إكسهانج CVE-2021-26857: التعليمات البرمجية عن بُعد لخادم ميكروسوفت إكسهانج ثغرة التنفيذ CVE-2021-26855: ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد لخادم Microsoft Exchange CVE-2020-23852: توجد ثغرة أمنية في تجاوز سعة المخزن المؤقت المستندة إلى الكومة في ffjpeg حتى 2020-07-02CVE-2020-23705: ثغرة أمنية عالمية في تجاوز سعة المخزن المؤقت من خلال 2020-06-22CVE-2020-12812: ثغرة غير صحيحة في المصادقة في SSL VPN في FortiosCVE-2019-5591: ثغرة أمنية في التكوين الافتراضي في FortiosCVE-2018-13379: ثغرة أمنية في التكوين الافتراضي في FortiosCVE-2018-13379: ثغرة أمنية في المصادقة غير الصحيحة في SSL VPN في FortiosCVE-2019-5591: ثغرة أمنية في التكوين الافتراضي في Fortioscve-2018-13379: ثغرة أمنية في التكوين الافتراضي في Fortioscve-2018-13379: ثغرة أمنية في المصادقة غير الصحيحة في SSL اسم إلى دليل مقيد («اجتياز المسار») في Fortinet

مؤشرات التسوية (IOCs)

تم استهداف Nvidia من قبل مجموعة Lapsus $ الشهر الماضي. بعد ذلك، في وقت سابق من هذا الشهر، بدأت عينات البرامج الضارة بالظهور في البرية، وتم توقيعها بشهادات Nvidia. تم اكتشاف بعض هذه العينات بشكل منخفض جدًا على VirusTotal بسبب الشهادات الشرعية المرفقة، وبالتالي يمكن أن تشكل تهديدًا. فيما يلي نماذج البرامج الضارة الموقعة بشهادات مسروقة:

شا2560e1638 b37df11845253 ee8b2188fdb 199abe06b768220 c25c30e6a8 ef4f9 de9d123f8ca1a245d9968483d40b5d 7a69 feer7342562407c42ed4e09 c7065077 f74c211 adf953 f00e57 bdf 594e72 اللجنة الاقتصادية لأفريقيا 15b1c470d41b756 c3b87e1bcb1d8872831e54a54a3989 d283bcd27560 سنتيمتر مكعب 12f54f831874162 a80 dc9 dcdf0b3907ff010e48 af871 af871 af871 أ 26683864 ب 9 ج 90 د 43 دي 444 كا 09 د 5 ب 2806 ج 26 د 942 ج 2010 د 0799 ف 1963 د 584 ج 237 أ 7 ج 3 سي 181 ج 5 ج 3956 ب 6 ب 6 ب 6 ب 6 د 6 د 6 د 6 د 6 د 3 ب 1 أ 38321 ب 84428 د د 12767736 فيج 390 ج 826 ج ج 9 ب 826 ج ج ج 47 د 7239 سم 510 با 93861 رقم الفاكس 8292053287 با5ab991a02107a7a3e 6d0 cecbf 166437 a254 a254c8 ad6b380b077355 a027fd0b7e3c 2cc9f939294 c6593f8339609c4c4d4b3b4861289 c0612851f1 ff43573 c03af2e108221 d02f578cb0d97498 b3482876 c2f356035e3365e2e2e10513ff4e4159 eebc44b8بروتوكول IPv4185.56.83.40139.162.22.146172.105.209.654.203.159.179الدومينlapsus-group.comsaudegroup@ctemplar.com

التأثير والتخفيف

التأثيرالتخفيفيمكن أن تمكّن أوراق الاعتماد المنشورة الجهات الفاعلة الأخرى في مجال التهديد من الوصول إلى شبكات المنظمة. يمكن لمعلومات التعريف الشخصية المكشوفة (PII) تمكين الجهات الفاعلة في مجال التهديد من تنسيق مخططات الهندسة الاجتماعية وهجمات التصيد الاحتيالي وحتى سرقة الهوية. نظرًا لأن إعادة استخدام كلمة المرور هي ممارسة شائعة، يمكن للجهات الفاعلة في مجال التهديد الاستفادة من بيانات الاعتماد المكشوفة للوصول إلى حسابات المستخدمين الأخرى. يمكن أن تؤدي عناوين IP المكشوفة وبيانات اعتماد تسجيل الدخول إلى عمليات استحواذ محتملة على الحساب. يمكن أن تكشف التفاصيل السرية المكشوفة عن الممارسات التجارية والملكية الفكرية. قم بإعادة تعيين بيانات اعتماد تسجيل دخول المستخدم المخترقة وتنفيذ سياسة كلمة مرور قوية لجميع حسابات المستخدمين. تحقق من الحلول والتصحيحات الممكنة مع إبقاء المنافذ مفتوحة. استخدم MFA (المصادقة متعددة العوامل) عبر عمليات تسجيل الدخول. قم بتصحيح جميع نقاط النهاية الضعيفة والقابلة للاستغلال. راقب الحالات الشاذة في حسابات المستخدمين والأنظمة التي يمكن أن تكون مؤشرات لعمليات الاستحواذ المحتملة.