LAPSUS$ Digitale Erpresserbande beansprucht Microsofts Datenleck: Verletzung betraf Okta-Kunden

[post-views]
März 23, 2022 · 3 min zu lesen
LAPSUS$ Digitale Erpresserbande beansprucht Microsofts Datenleck: Verletzung betraf Okta-Kunden

Am 21. März 2022, LAPSUS$-Gruppe veröffentlichte eine Reihe von Beiträgen in ihrem Telegram-Kanal mit Screenshots des sogenannten Quellcodes von Microsoft Bing und Cortana, dem visuellen Assistenten. Neben 40 GB durchgesickerten Daten zeigten sie auch ein kompromittiertes Administratorkonto von Okta, einer Plattform, die digitale Identitätsüberprüfung für Einzelpersonen und Organisationen anbietet.

Das letzte ist besonders alarmierend, weil Oktas Produkte, einschließlich Identitätsmanagement-Tools, von Tausenden von großen Organisationen genutzt werden. Zu den bekannten Namen gehören Nvidia, Cloudflare, Samsung und das US-Justizministerium. Die LAPSUS$-Gruppe behauptete, seit Januar 2022 Zugriff auf Oktas interne Tools wie Slack, Jira, Splunk und AWS zu haben. Okta bestätigte den Zugriff auf einen der Laptops der Ingenieure, verneinte jedoch die Kompromittierung des Dienstes selbst. Sie erwähnten auch, dass etwa 2,5 % der Okta-Kunden betroffen gewesen sein könnten. Medien nannten diesen Vorfall bereits „SolarWinds 2.0“, wobei die Folgen dieses Verstoßes exponentiell extremer sind.

Okta: LAPSUS$-Verstoß-Erkennung

Um verdächtiges Verhalten einer Konto-Impersonation auf der OKTA-Plattform zu erkennen, können Sie die folgende Sigma-Regel einsetzen, die von unserem prominenten Threat Bounty-Entwickler erstellt wurde Emir Erdogan:

Impersonation eines OKTA-Kontos (mögliches LAPSUS-Verhalten)

Diese Erkennung hat Übersetzungen für folgende SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys.

Die Regel ist mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt und behandelt die Technik der Access Token Manipulation (T1134), die zu Taktiken wie Verteidigungsevasion und Privilegieneskalation gehört.

Um den aufkommenden Cyber-Bedrohungen einen Schritt voraus zu sein, erkunden Sie eine Sammlung kuratierter Sigma-Regeln im Threat Detection Marketplace-Repository der SOC Prime-Plattform. Und wenn Sie ein Forscher oder Bedrohungsjäger mit solider Erfahrung sind, können Sie zur globalen Sicherheit beitragen, indem Sie unserem Threat Bounty-Programm beitreten und Ihre eigenen Detektionsinhalte einreichen.

Erkennungen anzeigen Threat Bounty beitreten

LAPSUS$-Ransomware: Neueste Forschung

Microsoft Threat Intelligence Center (MSTIC) führte eine detaillierte Untersuchung on LAPSUS$-Gruppen Aktivitäten durch, die sie auch DEV-0537 nennen. LAPSUS$ Datenkidnapper spezialisieren sich laut Microsoft auf Erpressung und Zerstörung, wobei sie auf Konten bestimmter Personen abzielen, die in globalen Organisationen arbeiten, als initiale Zugriffspunkte.

Die übliche Kill-Chain der LAPSUS$-Gruppe sieht aus wie folgt:

  • Initialer Zugriff: Durchführung sozialer Ingenieurtechniken, Redline-Stealer, gekaufte Anmeldeinformationen auf dunklen Märkten, bestochene Insider, veröffentlichte Anmeldedaten in öffentlichen Repositories, SIM-Swapping-Angriff.
  • Zugang zu Anmeldeinformationen: Zugang zu internetfähigen Systemen und Anwendungen wie Okta, um Multi-Faktor-Authentifizierungsanforderungen zu erfüllen.
  • Privilegieneskalation: Erhalt von Sichtbarkeit über Konten in Jira, Slack, Gitlab, Confluence für Aufklärungszwecke.
  • Exfiltration, Zerstörung und Auswirkungen: Verwendung von NordVPN-Ausgangspunkten, Herunterladen sensibler Daten, dann Nutzung zur Erpressung oder zum Hochladen auf öffentliche Quellen.

Anders als viele andere Erpressungsgruppen agiert die Datenerpressungsgruppe LAPSUS$ öffentlich. Sie gehen so weit, dass sie ihre Absicht in sozialen Medien ankündigen und „Insider“ auf ihrem Telegrammkanal „einstellen“. Eine weitere seltene Taktik ist, dass sie sich den Kommunikationskanälen von Incident-Response-Teams anschließen, nachdem sie die Daten geleakt haben, um die internen Prozesse des Opfers zu verstehen.

Erkunden Sie SOC Primes Detection as Code-Plattform , um auf die hochwertigsten SIGMA-Regeln zuzugreifen, zusammen mit Übersetzungen in mehr als 20 anbieter-spezifische SIEM-, EDR- und XDR-Formate. Eine präzise und zeitnahe Erkennung ist der Schlüssel zur Organisation einer effizienten SOC 24/7/365, während Ihre Ingenieure anspruchsvollere Aufgaben übernehmen können.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Zugriff auf die Uncoder AI-Funktionalität über die API 2 min zu lesen SOC Prime Plattform Zugriff auf die Uncoder AI-Funktionalität über die API by Steven Edwards Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen 2 min zu lesen SOC Prime Plattform Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen by Steven Edwards Übersetzung von Sigma in 48 Sprachen 2 min zu lesen SOC Prime Plattform Übersetzung von Sigma in 48 Sprachen by Steven Edwards
Alle Nachrichten