LastPass：黑客在二次攻击中袭击了DevOps工程师的计算机

黑客入侵了DevOp工程师的家用计算机，他们安装了键盘记录器作为复杂网络攻击的一部分。

密码管理软件公司LastPass披露了“第二次攻击”，威胁行为者使用从8月的安全漏洞中窃取的数据，并将其与第三方数据泄露中的可用信息相结合。然后，攻击者利用第三方媒体软件包中的漏洞来攻击该公司。

“我们的调查显示，威胁行为者从 2022 年 8 月 12 日结束的第一起事件开始转向，但从8月12日开始积极参与与云存储环境一致的一系列新的侦察、枚举和渗漏活动， 2022年至2022年10月26日。” “在第二起事件中，威胁行为者迅速利用在我们团队完成重置之前在第一起事件中泄露的信息来枚举并最终从云存储资源中泄露数据。”

LastPass透露，其一名DevOp工程师的家用电脑在复杂的网络中遭到黑客攻击。

攻击者的目标是四名 DevOps 工程师中的一位，他们有权访问访问云存储服务所需的解密密钥。黑客在DevOp工程师的计算机上安装了一个键盘记录器，并捕获了他的主密码。

“这是通过将DevOps工程师的家用计算机作为目标并利用易受攻击的第三方媒体软件包来实现的，该软件包启用了远程代码执行功能并允许威胁行为者植入键盘记录器恶意软件。”“在员工通过MFA进行身份验证后，威胁参与者能够在输入时捕获员工的主密码，并获得对DevOps工程师的LastPass公司保险库的访问权限。”

该公司在网络安全公司Mandiant的帮助下进行的调查证实了对DevOps工程师家用电脑的攻击。

“威胁者随后导出了本地公司保险库条目和共享文件夹的内容，其中包含加密的安全注释以及访问AWS S3 LastPass生产备份、其他基于云的存储资源和一些相关的关键数据库备份所需的访问和解密密钥”

2022 年 8 月，该公司披露了一个安全漏洞，威胁行为者通过一个受损的开发者帐户访问了部分公司开发环境，并窃取了部分源代码和一些专有技术信息。

2022 年 12 月，LastPass透露，2022年8月遭受的数据泄露可能比之前想象的更严重。

周四，该公司透露，威胁行为者获得了属于其客户的个人信息，包括加密密码库。

该公司发现，一个未知的威胁行为者利用从 8 月安全事件中获得的信息访问了一个基于云的存储环境。攻击者使用访问的信息将另一名员工作为目标，并获取用于访问和解密基于云的存储服务中的某些存储卷的凭证和密钥。 

该更新强调威胁行为者访问的云存储服务在物理上与生产环境分开。  

一旦获得云存储访问密钥和双存储容器解密密钥，攻击者就会从包含基本客户帐户信息和相关元数据的备份中复制信息。复制的数据包括公司名称、最终用户名、账单地址、电子邮件地址、电话号码以及客户访问 LastPass 服务的 IP 地址。

威胁行为者还从以专有二进制格式存储的加密存储容器中复制了客户保险库数据的备份。备份包含未加密数据（即网站 URL）和 256 位 AES 加密敏感数据（即网站用户名和密码、安全注释和填写表格的数据）。   

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4479.html