Microsoft подтвердила, что один из их сотрудников был скомпрометирован хакерской группой Lapsus$, что позволило злоумышленникам получить доступ и украсть части их исходного кода.
Прошлой ночью банда Lapsus$ опубликовала 37 ГБ исходного кода, украденного с сервера Microsoft Azure DevOps. Исходный код предназначен для различных внутренних проектов Microsoft, в том числе для Bing, Cortana и Bing Maps.
Хотя Microsoft не сообщила, как была скомпрометирована учетная запись, они предоставили общий обзор тактики, методов и процедур (TTP) банды Lapsus, наблюдаемых во время нескольких атак.
Как только Laspsus$ получает доступ к скомпрометированным учетным данным, они используют его для входа в общедоступные устройства и системы компании, включая VPN, инфраструктуру виртуальных рабочих столов или службы управления идентификацией, такие как Okta, которые они взломали в январе.
Microsoft утверждает, что по крайней мере в одной атаке Lapsus$ провел атаку с подменой SIM-карты, чтобы получить контроль над телефонными номерами пользователя и текстами SMS, чтобы получить доступ к кодам MFA, необходимым для входа в учетную запись.
Получив доступ к сети, злоумышленники используют AD Explorer для поиска учетных записей с более высокими привилегиями, а затем нацеливаются на платформы разработки и совместной работы, такие как SharePoint, Confluence, JIRA, Slack и Microsoft Teams, где украдены другие учетные данные.
