LAPSUS$ デジタル恐喝団体、マイクロソフトのデータ流出を主張: Okta顧客に影響した漏洩

[post-views]
3月 23, 2022 · 6 分で読めます
LAPSUS$ デジタル恐喝団体、マイクロソフトのデータ流出を主張: Okta顧客に影響した漏洩

2022年3月21日、 LAPSUS$ ギャング は、彼らのTelegramチャンネルで、Microsoft BingおよびCortanaビジュアルアシスタントのソースコードと呼んでいたもののスクリーンショットを表示する一連の投稿を公開しました。40ギガバイトの流出データに加え、個人および組織のデジタルアイデンティティ検証を提供するプラットフォームであるOktaの管理アカウントが侵害されていることも示しました。

最後のものは特に驚異的です。なぜなら、 Oktaの製品は、アイデンティティ管理ツールを含め、何千もの大規模な組織で使用されています。有名な企業には、Nvidia、Cloudflare、Samsung、そして米国司法省が含まれます。LAPSUS$グループは、2022年1月からSlack、Jira、Splunk、AWSなどのOktaの内部ツールにアクセスしていたと主張しました。 Okta は技術者の一人のラップトップへのアクセスを確認しましたが、サービス自体の妥協を否定しました。また、Oktaの顧客のおよそ2.5%が影響を受けた可能性があると述べました。メディアではすでにこの事件を「SolarWinds 2.0」と呼んでいますが、この侵害の結果は指数関数的に深刻です。

Okta: LAPSUS$ 侵害検出

OKTAプラットフォームでのアカウント模倣の疑わしい動作を検出するには、著名なThreat Bounty開発者である エミル・エルドアン:

OKTAアカウントの模倣(LAPSUSの可能性のある動作)

この検出は、次のSIEM、EDR、XDRプラットフォームへの翻訳を持っています: Microsoft Sentinel、Elastic Stack、Splunk、Sumo Logic、ArcSight、QRadar、Humio、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Apache Kafka ksqlDB、Qualys。

このルールは最新のMITRE ATT&CK® フレームワーク v.10 と整合しており、防御回避や特権昇格などの戦術に属するアクセストークン操作技術 (T1134) に対処しています。

新たに出現するサイバー脅威に先んじるために、SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリで利用可能なキュレーションされたSigmaルールのコレクションを探してください。そして、実績のある研究者や脅威ハンターであれば、Threat Bounty Programに参加して独自の検出コンテンツを提出することで、グローバルな安全性に貢献することができます。

検出情報を見る Threat Bounty に参加

LAPSUS$ ランサムウェア:最新の研究

Microsoft Threat Intelligence Center (MSTIC) は詳細な 調査を行いました on LAPSUS$ ギャングの 活動は、彼らがDEV-0537と呼んでいるものです。Microsoftによると、LAPSUS$ データ誘拐犯は、恐喝と破壊を専門としており、最初のアクセスターゲットとしてグローバル組織で働く個人のアカウントを狙っています。

一般的なキルチェーンは、 LAPSUS$ グループによって 次のように見えます:

  • 初期アクセス: ソーシャルエンジニアリングの実行、Redline スティーラー、ダークマーケットで購入した資格情報、内部者の買収、公開リポジトリに公開された資格情報、SIMスワッピング攻撃。
  • 資格情報アクセス: 多要素認証 (MFA) 要件を満たすために、Oktaなどのインターネットに公開されたシステムやアプリケーションへのアクセスを取得。
  • 特権の昇格: 偵察のために、Jira、Slack、Gitlab、Confluenceのアカウントを介して可視性を得る。
  • 流出、破壊、影響: NordVPN 退避ポイントを使用し、機密データをダウンロード後、脅迫のために使用するか、公開ソースにアップロード。

多くの他の恐喝ギャングとは異なり、 データ恐喝グループLAPSUS$ は公然と行動します。彼らはソーシャルメディアで意図を発表し、Telegramチャンネルでインサイダーを「募集」するところまで行きます。希少な戦術として、データを流出させた後に、インシデント対応チームの通信に参加し、被害者の内部プロセスを理解しようとします。

探求する SOC PrimeのDetection as Codeプラットフォーム 最高品質のSIGMAルールと、20以上のベンダー固有のSIEM、EDR、およびXDR形式への翻訳にアクセス。正確でタイムリーな検出は、効率的なSOCを24/7/365組織するための鍵であり、エンジニアはより高度なタスクに取り組むことができます。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

APIを通じたUncoder AI機能へのアクセス 2 分で読めます SOCプライムプラットフォーム APIを通じたUncoder AI機能へのアクセス by Steven Edwards Uncoder AIの脅威検出マーケットプレイスを検索する 3 分で読めます SOCプライムプラットフォーム Uncoder AIの脅威検出マーケットプレイスを検索する by Steven Edwards Sigmaから48の言語に翻訳する 3 分で読めます SOCプライムプラットフォーム Sigmaから48の言語に翻訳する by Steven Edwards
すべてのニュース