安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

Uber认为最近的安全漏洞罪魁祸首是 LAPSUS$ 黑客组织（9.20）

Uber是一家总部位于旧金山的公司。周一，它披露了上周发生的安全事件更多相关细节，认为发动这一攻击的威胁行为者是臭名昭著的LAPSUS$的下属黑客组织。

详细情况

在最新消息中，Uber表示：“这一黑客组织经常使用类似技术来攻击科技公司，仅在2022年就攻破了微软、思科、三星、NVIDIA和Okta等。”

Uber表示，除了与美国联邦调查局(FBI)和司法部就此事进行协调外，他们正在与几家领先的“数字取证公司”合作，该公司对该事件的调查仍在继续。

Uber简述了攻击是如何展开的，一个“EXT承包商” 的个人设备被恶意软件入侵，其公司帐户凭据被窃取并在暗网上出售，这一情况与Group-IB早些时候的报告相符。

被入侵的EXT承包商总部位于新加坡，该公司在上周指出，在巴西和印度尼西亚，至少有两名Uber员工遭到Raccoon恶意软件和Vidar信息窃取软件入侵。

这家公司表示：“接着攻击者反复尝试登录承包商的Uber帐户。”“承包商每次都会收到双因素登录批准请求，最初阻止了访问。但是最后，承包商接受了一个，攻击者成功登录。”

在获得跳板之后，据说该不法分子访问了其他员工账户，从而使他们获得了对“多个内部系统”（例如Google Workspace和Slack）更高的权限。

该公司还表示，为应对这一事件，它采取了多项措施，例如禁用受影响的工具、轮换服务密钥、锁定代码库，以及阻止被入侵的员工帐户访问Uber系统，或者把他们的帐户密码重置密码。

Uber没有透露可能遭到入侵的员工账户数量，但它重申没有未经授权的代码更改，也没有证据表明黑客可以访问支持其面向客户的app的生产系统。

不过据说指控的这名青少年黑客从其财务团队用来管理某些发票的内部工具中下载了一些数量不详的内部Slack消息和信息。

Uber还证实攻击者访问了HackerOne错误报告，但表示 “攻击者能够访问的任何漏洞报告均已得到修复。”

Roger Grimes，KnowBe4的数据驱动防护宣传者在一份声明中表示,“只有一种解决方案可以增加推送的 [多因素身份验证] 的弹性，就是培训使用推送的 MFA 的员工，让其了解针对MFA的常见攻击类型、如何检测这些攻击，以及如果遭到攻击时如何缓解并报告这些它们。”

Cerberus Sentinel解决方案架构副总裁Chris Clements表示，对于组织来说，意识到MFA不是 “灵丹妙药”，不是所有因素都是平等的,这点至关重要。

虽然为了降低与SIM卡交换攻击风险，已经从基于短信的身份验证转变为基于应用程序的方法，但Uber和Cisco遭到的黑客攻击凸显了一个问题：采用其他方式可以绕开曾认为绝对可靠的安全控制。

威胁行为者靠AitM代理工具包和 MFA 疲劳（又名即时轰炸）之类的攻击路径来诱骗毫无戒心的用户无意中交出一次性密码 (OTP) 或授权访问请求，这一事实表明需要采用防网络钓鱼方法。

Clements说：“为了防止类似的攻击，组织应转向采用更安全的MFA授权，例如数字匹配，以最大限度地减少用户盲目批准身份验证提示的风险。”

参考链接

https://thehackernews.com/2022/09/uber-blames-lapsus-hacking-group-for.html