微軟週二表示，旗下一名員工的帳號被 Lapsus$ 入侵，使得攻擊者獲得「有限訪問權限」，從而竊取了公司的原始碼。但微軟補充說客戶數據並未受到洩露。微軟並未說明帳戶是如何被入侵的，但其威脅與情報中心（Microsoft Threat Intelligence Center，MSTIC）提供了Lapsus$ 組織的策略、攻擊手法和程序的概述。

 

關於 Lapsus$
DEV-0537，也可稱之為 Lapsus$，以使用純粹勒索手法及破壞模型，不部署勒索軟件的攻擊手法而聞名。他們透過多種手段來獲取初始訪問權（Initial Access），包括從暗網中購買憑證，在公共存儲庫中搜索暴露的憑證以及部署 Redline 密碼竊取程序。之後 Lapsus$ 便會使用這些竊取得到的憑證訪問公司的互聯網設備及系統，如遠端桌面協定、虛擬專用網絡或身份管理服務。

此外，Lapsus$ 也會進行 SIM卡交換攻擊（SIM swap attack），以控制受害者的電話號碼以及短信，從而獲得所需的多因素身份驗證（MFA）代碼。在獲得對網絡系統的訪問權後，他們便會瞄準開發和協作平台，例如 Jira、Slack 及 Microsoft Teams，以便竊取更多的憑證，再利用這些憑證來訪問 GitLab、GitHub 及 Azure DevOps 上的源代碼存儲庫，就跟對微軟的攻擊一樣。 

DEV-0537 也會致電給組織的服務窗口，說服工作人員重設帳戶密碼，利用事先收集到的信息，以及讓英語為母語到的同夥作為撥電者，以增強他們的社會工程成功機率。Lapsus$ 在過去的幾周內聲名大噪，攻擊了 Nvdia、Samsung及 Okta 等許多著名公司。

 

參考資料：
https://techcrunch.com/2022/03/23/microsoft-lapsus-hack-source-code/
https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/