LAPSUS$ APT IOCs

security IOC

Впервые LAPSUS$ появилась на публике в декабре 2021 года. За последние 5 месяцев LAPSUS$ получила широкую известность благодаря успешным взломам некоторых крупных предприятий, включая Microsoft, Nvidia, Okta и Samsung. Об этой группе до сих пор мало что известно, а ее мотивами, судя по всему, являются репутация, деньги и "для смеха".

LAPSUS$

Уведомления или ответственность LAPSUS$ за жертв обычно передаются через их телеграм-канал, а в одном случае DNS-записи жертвы были перенастроены на домены/веб-сайты, контролируемые LAPSUS$. Однако не обо всех жертвах или нарушениях активно сообщается через их телеграм-канал, и некоторым жертвам не предлагается выкуп. Это отличает их от более традиционных групп ransomware, которые имеют четкий modus operandi и явно ориентированы на финансовую деятельность. В результате этого LAPSUS$ менее предсказуемы, что, возможно, и стало причиной их недавнего успеха.

Примечательно, что большинство действий LAPSUS$ используют человеческий фактор, а не технические недостатки или уязвимости. Несмотря на то, что потенциально эти методы могут рассматриваться как простые или базовые, они оказались успешными, поэтому организациям крайне важно предусмотреть меры контроля и смягчения последствий для борьбы с ними.

Анализ угроз показывает, что LAPSUS$ использует несколько методов для получения начального доступа.

Считается, что основным источником первоначального доступа является кража аутентификационных файлов cookie, которые предоставляют злоумышленнику доступ к определенному приложению. Эти cookies обычно имеют форму приложений для однократной регистрации (SSO), что позволяет злоумышленнику переходить в другие корпоративные приложения в обход таких средств контроля, как многофакторная аутентификация (MFA).

Сбор учетных данных и повышение привилегий - ключевые компоненты взломов LAPSUS$. Быстрая эскалация привилегий группы LAPSUS$ привела к тому, что в течение нескольких дней группа поднялась с учетной записи обычного пользователя до административного пользователя.

LAPSUS$ практически не использует вредоносное ПО. LAPSUS$ использует легитимный инструмент Sysinternals ADExplorer, который применялся для разведки среды жертвы.

Доступ к корпоративным сетям VPN является основным объектом внимания этой группы, поскольку он позволяет субъектам угроз получить прямой доступ к ключевой инфраструктуре, необходимой им для достижения своих целей.

LAPSUS$ использует взломанные учетные записи электронной почты сотрудников для отправки сообщений в службу поддержки с просьбой предоставить учетные данные или поддержку для получения доступа к корпоративной сети VPN.

В одном из инцидентов LAPSUS$ наблюдалось перемещение по среде жертвы через RDP.

Действия LAPSUS$ по достижению целей, по-видимому, направлены на утечку конфиденциальной информации, а также на разрушение. В одном конкретном инциденте было замечено, что использовался бесплатный сервис передачи файлов "filetransfer.io".

Наблюдается нарушение и разрушение клиентских сред, например:

  • отключение виртуальных машин в локальной инфраструктуре VMware ESXi
  • массовое удаления виртуальных машин, хранилищ и конфигураций в облачных средах

Что затрудняет восстановление жертвы и проведение аналитической работы следственной группой.

Кража данных, о которой сообщалось, в основном сосредоточена на исходном коде приложений или запатентованной технической информации. При этом объектом атаки становятся внутренние серверы управления исходным кодом или репозитории. Эти git-репозитории могут содержать не только коммерчески важную интеллектуальную собственность, но и в некоторых случаях могут включать дополнительные API-ключи к чувствительным приложениям, включая административные или облачные приложения.

Indicators of Compromise

IPv4

  • 104.238.222.158
  • 108.61.173.214
  • 185.169.255.74
SEC-1275-1
Добавить комментарий