密碼管理軟體公司 LastPass 表示,其一名 DevOps 工程師的個人家用電腦遭到黑客攻擊並植入了鍵盤記錄惡意軟體,這是持續性網絡攻擊的一部分,攻擊者從雲存儲資源中竊取了公司數據。
LastPass 周一承認了一次「第二次攻擊」,其中一名未具名的攻擊者將去年 8 月數據泄露事件中竊取的數據與第三方數據泄露事件中的可用信息以及第三方媒體軟體包中的漏洞結合起來,發起了協同攻擊。
「我們的調查顯示,攻擊者從 2022 年 8 月 12 日結束的第一起事件開始轉向,但從 8 月 12 日開始積極參與與雲存儲環境一致的一系列新的偵察、枚舉和滲漏活動, 2022 年至 2022 年 10 月 26 日。」該公司在網上發布的一份說明中解釋道。
LastPass 補充說:「在第二起事件中,威脅行為者迅速利用在我們團隊完成重置之前在第一起事件中泄露的信息來枚舉並最終從雲存儲資源中泄露數據。」
LastPass 與 Mandiant 的事件響應專家合作進行取證,並發現一名 DevOps 工程師的家用電腦成為繞過安全緩解措施的目標。
攻擊者利用第三方媒體軟體包中的遠程代碼執行漏洞,在該員工的個人電腦上植入了鍵盤記錄惡意軟體。該公司表示:「在員工通過 MFA 進行身份驗證後,攻擊者能夠在員工輸入時捕獲其主密碼,並獲得對 DevOps 工程師的 LastPass 公司保險庫的訪問權限。」
「攻擊者隨後導出了本地公司保險庫條目和共享文件夾的內容,其中包含加密的安全注釋以及訪問 AWS S3 LastPass 生產備份、其他基於雲的存儲資源和一些相關的關鍵資料庫備份所需的訪問和解密密鑰。」LastPass 證實。
由 GoTo(前身為 LogMeIn)擁有的 LastPass最初於 2022 年 8 月披露了這一漏洞,並警告稱其部分原始碼已被盜。2023 年 1 月,母公司 GoTo 表示,它也遭受了一次入侵行為,包括帳戶用戶名、加鹽和哈希密碼、部分多重身份驗證 (MFA) 設置以及一些產品設置和許可信息被盜。
LastPass 在全球擁有超過 3000 萬用戶和 85,000 家企業客戶。
參考連結:https://www.securityweek.com/lastpass-says-devops-engineer-home-computer-hacked/