🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Inteligência do adversário

[Atualização] Análise detalhada do grupo cibercriminoso LAPSUS$ que comprometeu a Nvidia, a Microsoft, a Okta e a Globant

[Atualização] Análise detalhada do grupo cibercriminoso LAPSUS$ que comprometeu a Nvidia, a Microsoft, a Okta e a Globant
April 4, 2022
min
Tabela de conteúdo
Exemplo H2
Exemplo H2
Fonte: A1Indústria: TI e tecnologiaRegião: EUACategoria: Inteligência adversária

Sumário executivo

  • Atualização: o alvo recente do grupo de ransomware Lapsus$ é a gigante de TI e software Globant. Este artigo foi atualizado com a análise do ataque ao Globant, que veio à tona em 30 de março de 2022.
  • CloudSEKa principal plataforma digital de monitoramento de risco da XV Vigília descobri uma postagem no Telegram, compartilhando as credenciais dos funcionários da Nvidia, o código-fonte da Samsung, além de que as mais recentes adições a esses alvos já importantes são a Cortana da Microsoft e o código-fonte do Bing e Okta, os dados de clientes da gigante do SSO, foram exfiltrados.
  • A gangue de ransomware Lapsus$ alegou ter comprometido a Nvidia e agora ataca a Samsung com a violação. Alegando ainda ter obtido acesso ao código-fonte usado em smartphones Samsung Galaxy, dados de clientes da Okta, etc.
  • A gangue de ransomware vazou código-fonte, credenciais removidas, certificados de assinatura de código e código-fonte para o motorista. Os dados vazados revelam a possibilidade de os agentes de ameaças obterem acesso não autorizado a dados pessoais, proprietários e de propriedade intelectual (IP) da Nvidia e também vazaram 90% do código-fonte do Bing Maps, Bing e Cortana, alegando estar em 45%.
  • Enquanto escrevíamos este relatório, descobrimos que PII (informações de identificação pessoal) ou informações dox relacionadas à gangue de ransomware Lapsus$ foram divulgadas em um fórum de crimes cibernéticos em russo.
This screenshot was posted on the telegram group and while analyzing closely we can see that they have access to Jira, Slack, G-Suite and other internal applications as well. RDP access is being used in the screenshot
Essa captura de tela foi publicada no grupo de telegramas e, ao analisar de perto, podemos ver que eles também têm acesso ao Jira, Slack, G-Suite e outros aplicativos internos. O acesso RDP está sendo usado na captura de tela

Análise e atribuição

Informações do Telegram

Em 22 de março de 2022, o grupo alegou ter vazado o código-fonte do Bing Maps, Bing e Cortana. Nossa equipe de inteligência de ameaças confirmou que essas afirmações são verdadeiras, logo após a publicação de blogs oficiais de Microsoft e Okta confirmando a violação.

Informações vazadas compartilhadas nos canais do Telegram

Perpetradores originais da violação

Sabe-se que o grupo cibercriminoso LAPSUS$ explora o elo mais fraco na cadeia de segurança de uma rede corporativa: Erros humanos e más práticas.

Eles alcançam o acesso inicial usando as seguintes táticas:

  • Registros do ladrão de malware Redline, que podem ser entendidos aqui
  • Mercados populares, como amigos, mercado russo para obter registros, credenciais e tokens de sessão para obter acesso.
  • Eles são conhecidos por pagar insiders para fornecer VPN, VDI (citrix), provedores de identidade e até mesmo acesso RDP
Lapsus Recruitment Post
Posto de recrutamento da Lapsus
  • Segredos publicamente disponíveis nos repositórios github/gitlab

As próximas etapas envolvem escalonamento de privilégios e pós-exploração:

  • Explorando vulnerabilidades existentes, que incluem versões não corrigidas do Jira, confluence, Fortiguard, servidores Microsoft Exchange, etc. Criamos uma lista de vulnerabilidades selecionadas que eles visam.
  • Acessando sistemas de controle de versão e analisando repositórios privados para obter acesso a segredos e gemas
  • Eles também acessam caixas de correio/software de colaboração, como o Slack, para ter acesso às credenciais compartilhadas em texto simples.
They have highlighted the post exploitation steps they took as a part of response to Okta’s latest blog.
Eles destacaram a pós-exploração passos que eles tomaram como parte do resposta ao último blog da Okta.

Análise de vazamentos da Microsoft:

A Microsoft, em um blog oficial de hoje, declarou o seguinte:

“Nesta semana, o ator fez alegações públicas de que havia obtido acesso à Microsoft e extraído partes do código-fonte. Nenhum código ou dado do cliente estava envolvido nas atividades observadas. Nossa investigação descobriu que uma única conta foi comprometida, concedendo acesso limitado. Nossas equipes de resposta de segurança cibernética se engajaram rapidamente para corrigir a conta comprometida e evitar novas atividades. A Microsoft não confia no sigilo do código como medida de segurança e a visualização do código-fonte não aumenta o risco.”

O vazamento contém 56484 diretórios, 333743 arquivos e o código-fonte da Cortana, Bing Maps e Bing. O tamanho agregado dos dados vazados é de 37,8 GB.

O vazamento também contém vários terminais confidenciais, como o mencionado na captura de tela acima. Da mesma forma, existem 135 arquivos.pfx presentes no vazamento. Um arquivo pfx contém o certificado SSL (chave pública) e a chave privada correspondente. Por sua vez, eles podem ser usados de forma maliciosa.

Existem arquivos de documentação e arquivos PDF internos:

Ao examinar os arquivos, podemos concluir o seguinte:

  • Nenhum dado do cliente foi afetado
  • Nenhuma PII foi vazada
  • O código-fonte junto com certificados e arquivos pfx vazaram
  • O grupo Lapsus$ não é muito forte com segurança operacional, pois eles publicaram uma prova de conceito no canal Telegram enquanto a exfiltração ainda estava em andamento.

Análise de violação da Okta:

Okta também divulgou uma declaração anterior na forma de um blog afirmando:

“A Okta detectou uma tentativa malsucedida de comprometer a conta de um engenheiro de suporte ao cliente que trabalhava para um provedor terceirizado. Como parte de nossos procedimentos regulares, alertamos o provedor sobre a situação, ao mesmo tempo em que encerramos as sessões ativas do Okta do usuário e suspendemos a conta do indivíduo. Após essas ações, compartilhamos informações pertinentes (incluindo endereços IP suspeitos) para complementar sua investigação, que foi apoiada por uma empresa forense terceirizada.” “Após uma análise completa dessas reivindicações, concluímos que uma pequena porcentagem de clientes — aproximadamente 2,5% — foi potencialmente impactada e cujos dados podem ter sido visualizados ou utilizados. Identificamos esses clientes e estamos entrando em contato diretamente com eles. Se você é cliente da Okta e foi afetado, já entramos em contato diretamente por e-mail. Estamos compartilhando essa atualização provisória, consistente com nossos valores de sucesso, integridade e transparência do cliente”

Em resposta à declaração acima, o grupo Lapsus$ também divulgou uma mensagem que pode ser resumida nos seguintes pontos:

  • Eles conseguiram violar uma conta de superusuário/administrador que tinha acesso aos fóruns do Slack, Jira, Confluence, etc.
  • É suspeito que o engenheiro de suporte ao cliente tenha tido acesso a aproximadamente 8,6 mil canais do Slack e aplicativos internos.
  • Eles tinham acesso a pares internos de segredos e chaves da AWS e outras chaves de API à medida que eram compartilhadas em texto simples pelo Slack e por e-mail
  • A conta violada conseguiu redefinir a senha e o MFA de ~ 95% de sua clientela
The screenshot was shared by Lapsus as a POC claiming they had access to Slack and other applications.
A captura de tela foi compartilhada pelo Lapsus como um POC, alegando que eles tinham acesso ao Slack e a outros aplicativos.

Análise de vazamento Globant:

A Globant, em uma confirmação oficial, não contestou a reivindicação da Lapsus$. A Globant divulgou a seguinte declaração:

“Recentemente, detectamos que uma seção limitada do repositório de código da nossa empresa foi sujeita a acesso não autorizado. Ativamos nossos protocolos de segurança e estamos conduzindo uma investigação exaustiva. De acordo com nossa análise atual, as informações acessadas foram limitadas a determinado código-fonte e documentação relacionada ao projeto para um número muito limitado de clientes. Até o momento, não encontramos nenhuma evidência de que outras áreas de nossos sistemas de infraestrutura ou de nossos clientes tenham sido afetadas”

O vazamento de dados de 70 GB contém chaves públicas e privadas (SSH e SSL) presentes no vazamento como parte de seu código-fonte. Ele consiste nas seguintes informações para vários de seus clientes:

Arquivos de credenciais vazaram:

Informações confidenciais e PII vazadas:

Arquivos SQL vazados:

Informações do fórum Cyber Crime

O grupo Lapsus Ransomware surgiu no início de janeiro de 2022.

  • O grupo está operando ativamente em seu canal Telegram e interage com os assinantes. Eles mantêm seus assinantes atualizados sobre as futuras violações de dados e organizam enquetes.
  • Recentemente, encontramos uma postagem em um fórum de crimes cibernéticos de língua russa que mencionava a PII como operadora do grupo Lapsus$.
  • As informações coxadas mostram muitas informações pessoais:
    • Nome: Arion Kurtaj
    • Interesses: Minecraft, Pesca, venda em 0 dias
    • Idade: 16 anos
    • Endereço potencial: Espanha
    • Nacionalidade: britânica
    • Data de nascimento: 19 de fevereiro de 2005
    • E-mails pessoais:

[email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]

  • Pseudônimos:

Vulnerabilidades e exposições comuns (CVE)

A gangue Lapsus$ já tinha como alvo uma organização no Nepal e um blog de investigação foi publicado para a mesma mencionando os CVEs alvo.

CVEs visados pelo Lapsus$CVE-2022-21702: Vulnerabilidade XSS no GrafanAcve-2022-0510: XSS refletido no Packagist pimcore/pimcore antes de 10.3.1.CVE-2022-0139: Use o After Free no repositório do GitHub radareorg/radare2 antes de 5.6.0CVE-2021-45328: Redirecionamento de URL para site não confiável ('Redirecionamento aberto') por meio de URLScve-2021-45328 2021-45327: Confiando em métodos de permissão HTTP no lado do servidor ao fazer referência ao administrador ou usuário vulnerável APICVE-2021-45326: a vulnerabilidade CSRF existe no Gitea antes da 1.5.2 por meio da API RoutesCVE-2021-45325: a vulnerabilidade SSRF existe no Gitea antes da 1.7.0 usando o OpenID URLCVE- 2021-44957: Existe uma vulnerabilidade global de estouro de buffer no ffjpeg até 01.01.2021CVE-2021-44956: Existem duas vulnerabilidades de estouro de buffer baseadas em heap no ffjpeg até 01.01.2021CVE-2021-44864: O TP-Link WR886N 3.0 1.0.1 Build 150127 rel.34123n é vulnerável ao Buffer OverflowCVE-2021-34473: Microsoft Vulnerabilidade de execução remota de código do Exchange ServerCVE-2021-31207: Vulnerabilidade de desvio do recurso de segurança do Microsoft Exchange ServerCVE-2021-26858: Vulnerabilidade de execução remota de código do Microsoft Exchange ServerCVE-2021-26857: Código remoto do Microsoft Exchange Server Vulnerabilidade de execuçãoCVE-2021-26855: Vulnerabilidade de execução remota de código do Microsoft Exchange ServerCVE-2020-23852: Existe uma vulnerabilidade de estouro de buffer baseada em pilha no ffjpeg até 2020-07-02CVE-2020-23705: Uma vulnerabilidade global de estouro de buffer até 2020-06-22CVE-2020-12812: Uma vulnerabilidade de autenticação imprópria na VPN SSL no FortioSCVE-2019-5591: Uma vulnerabilidade de configuração padrão no FortioSCVE-2018-13379: uma limitação imprópria de um nome de caminho para um diretório restrito (“Path Traversal”) no Fortinet

Indicadores de compromisso (IOCs)

A Nvidia foi alvo do grupo Lapsus$ no mês passado. Posteriormente, no início deste mês, amostras de malware começaram a aparecer na natureza, assinadas com certificados da Nvidia. Algumas dessas amostras tiveram uma detecção muito baixa no VirusTotal devido aos certificados legítimos anexados e, portanto, podem representar uma ameaça. A seguir estão as amostras de malware assinadas com certificados roubados:

SHA2560e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7065077fa74c211adf9563c f00e57b5daf9594e72cea15b1c470d41b756c3b87e1bcb1d8872831e54a3989d283bcd27560cc12f54f831874162a80dc9dcddf0b3907ffa010ee48af8671fe74245bdfb54d54d9267aef748d9dc1fc8ca8df4966b871a26683864b9c90e43de444ca09d5b2806c26dd9402c2010d0799f1963fd584c23a7c3ce181e5c3956bb6b9b92e862b6fea6d6d6d6 3be1a38321ebb84428dde12767736fec39a0f826fccca47e1997239c510ba93861faadbe8292053287ba5ab991a0210a766da3e6d0cecbf166437a254c8ad6b380b077355a027fd0b7e3c 2ccc9f939294c6593f8339609c4db3b4861289c0612851f1ff43573c03af2e108221d02f578cb0d97498b3482876c2f356035e3365e2c492e10513ff4e4159eebc44b8IPv4185,56,83,40139,162.22.146172.105.209.654.203.159,179Domínio[email protected]

Impacto e mitigação

ImpactoMitigaçãoAs credenciais publicadas podem permitir que outros agentes de ameaças tenham acesso às redes da organização. As informações de identificação pessoal (PII) expostas podem permitir que os agentes de ameaças orquestrem esquemas de engenharia social, ataques de phishing e até mesmo roubo de identidade. Como a reutilização de senhas é uma prática comum, os agentes de ameaças podem aproveitar as credenciais expostas para obter acesso às outras contas dos usuários. Endereços IP e credenciais de login expostos podem levar a possíveis aquisições de contas. Os detalhes confidenciais expostos podem revelar práticas comerciais e propriedade intelectual. Redefina as credenciais de login do usuário comprometidas e implemente uma política de senha forte para todas as contas de usuário. Verifique possíveis soluções alternativas e patches enquanto mantém as portas abertas. Use a MFA (autenticação multifator) em todos os logins. Corrija todos os endpoints vulneráveis e exploráveis. Monitore anomalias, em contas e sistemas de usuários, que possam ser indicadores de possíveis aquisições.

Apêndice

Leaked Nvidia Drivers information shared by threat actor
Informações vazadas sobre drivers da Nvidia compartilhadas pelo ator da ameaça


Leaked Microsoft internal source code
Código-fonte interno da Microsoft vazou
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Inteligência do adversário
9
min
Weaponizing LSPosed: Remote SMS Injection and Identity Spoofing in Modern Payment Ecosystems
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 6, 2026
7
min
AI, the Iran-US Conflict, and the Threat to US Critical Infrastructure
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 5, 2026
5
min
A Threat Actor Landscape Assessment of ICS/OT Targeting in the 2026 Iran-US Conflict AND THE SCALE OF THE RISK
Leia mais