記憶體安全週報第110期 | Uber認為最近的安全漏洞罪魁禍首是 LAPSUS$ 駭客組織

安芯網盾發表於2022-09-26

Uber認為最近的安全漏洞罪魁禍首是 LAPSUS$ 駭客組織(9.20)

Uber是一家總部位於舊金山的公司。週一,它披露了上週發生的安全事件更多相關細節,認為發動這一攻擊的威脅行為者是臭名昭著的LAPSUS$的下屬駭客組織。

詳細情況

在最新訊息中,Uber表示:“這一駭客組織經常使用類似技術來攻擊科技公司,僅在2022年就攻破了微軟、思科、三星、NVIDIA和Okta等。”

Uber表示,除了與美國聯邦調查局(FBI)和司法部就此事進行協調外,他們正在與幾家領先的“數字取證公司”合作,該公司對該事件的調查仍在繼續。Uber簡述了攻擊是如何展開的,一個“EXT承包商” 的個人裝置被惡意軟體入侵,其公司帳戶憑據被竊取並在暗網上出售,這一情況與Group-IB早些時候的報告相符。

被入侵的EXT承包商總部位於新加坡,該公司在上週指出,在巴西和印度尼西亞,至少有兩名Uber員工遭到Raccoon惡意軟體和Vidar資訊竊取軟體入侵。 這家公司表示:“接著攻擊者反覆嘗試登入承包商的Uber帳戶。”“承包商每次都會收到雙因素登入批准請求,最初阻止了訪問。但是最後,承包商接受了一個,攻擊者成功登入。”

在獲得跳板之後,據說該不法分子訪問了其他員工賬戶,從而使他們獲得了對“多個內部系統”(例如Google Workspace和Slack)更高的許可權。 

該公司還表示,為應對這一事件,它採取了多項措施,例如禁用受影響的工具、輪換服務金鑰、鎖定程式碼庫,以及阻止被入侵的員工帳戶訪問Uber系統,或者把他們的帳戶密碼重置密碼。

Uber沒有透露可能遭到入侵的員工賬戶數量,但它重申沒有未經授權的程式碼更改,也沒有證據表明駭客可以訪問支援其面向客戶的app的生產系統。

不過據說指控的這名青少年駭客從其財務團隊用來管理某些發票的內部工具中下載了一些數量不詳的內部Slack訊息和資訊。

Uber還證實攻擊者訪問了HackerOne錯誤報告,但表示 “攻擊者能夠訪問的任何漏洞報告均已得到修復。” 

Roger Grimes,KnowBe4的資料驅動防護宣傳者在一份宣告中表示,“只有一種解決方案可以增加推送的 [多因素身份驗證] 的彈性,就是培訓使用推送的 MFA 的員工,讓其瞭解針對MFA的常見攻擊型別、如何檢測這些攻擊,以及如果遭到攻擊時如何緩解並報告這些它們。”

Cerberus Sentinel解決方案架構副總裁Chris Clements表示,對於組織來說,意識到MFA不是 “靈丹妙藥”,不是所有因素都是平等的,這點至關重要。

雖然為了降低與SIM卡交換攻擊風險,已經從基於簡訊的身份驗證轉變為基於應用程式的方法,但Uber和Cisco遭到的駭客攻擊凸顯了一個問題:採用其他方式可以繞開曾認為絕對可靠的安全控制。

威脅行為者靠AitM代理工具包和 MFA 疲勞(又名即時轟炸)之類的攻擊路徑來誘騙毫無戒心的使用者無意中交出一次性密碼 (OTP) 或授權訪問請求,這一事實表明需要採用防網路釣魚方法。

Clements說:“為了防止類似的攻擊,組織應轉向採用更安全的MFA授權,例如數字匹配,以最大限度地減少使用者盲目批准身份驗證提示的風險。”

參考連結 

https://thehackernews.com/2022/09/uber-blames-lapsus-hacking-group-for.html


相關文章