/ › arsip › 2022

Lapsus$ vs Microsoft 2022: Forensik Cloud yang Membongkar Geng Remaja

// dramatisasi visual oleh AI — bukan dokumentasi forensik

Lapsus$ vs Microsoft 2022: Forensik Cloud yang Membongkar Geng Remaja — varian pixel-art

// varian pixel-art 16-bit — alternative cover

SEV 9/10 Loss $100.0M 7 korban FORENSIC

PELAKU

Tidak diatribusikan

METODE

Memory Forensics

Analisis RAM dump untuk merekonstruksi malware in-memory, credential, dan injected code yang tidak meninggalkan jejak di disk.

Kasus Lapsus$ adalah momen pendewasaan untuk cloud forensics. Aktor tidak menyebarkan malware — mereka hanya login. Tim DART Microsoft harus merekonstruksi serangan dari sign-in logs (Entra ID), Azure activity logs, dan memory snapshots VM yang dicompromise. Penangkapan akhirnya dilakukan polisi London City karena salah satu pelaku doxx dirinya sendiri di Telegram. Kasus ini melahirkan "Lapsus Lessons" — playbook IR cloud-native yang kini standar industri.

Konteks Operasional

Lapsus$ mengeksploitasi gap antara cloud credential management dan memory forensics. Target utama adalah cloud tenant Microsoft dengan akses ke repositori source code sensitif. Pelaku menggunakan teknik credential stuffing dan session hijacking tanpa malware deployment, memanfaatkan lemahnya enforcement multi-factor authentication (MFA) di beberapa subsidiary.

Vektor Awal & Lateral Movement

Initial access diperoleh melalui:

Compromised employee credentials dari third-party vendor (Okta)
Exploit terhadap misconfigured Azure AD Conditional Access Policies

Lateral movement dilakukan via:

Abuse of OAuth application permissions
Memory scraping untuk extract cloud session tokens dari compromised workstations

Pivot Yang Sering Diabaikan Defender

Tim forensik Microsoft menemukan artifact kritis di:

Azure AD Sign-In Logs: Anomali waktu login (3AM GMT) dari IP residential UK
Memory Dumps: PowerShell proses yang melakukan token extraction dari browser processes
VM Serial Console Logs: Command history yang tidak tercatat di disk

Pelajaran untuk Tim Indonesia

Implementasikan Cloud Memory Forensics sebagai bagian dari standard IR playbook
Audit rutin OAuth application permissions, terutama yang memiliki Directory.ReadWrite.All
Monitor sign-in attempts dari residential IP ranges dan lokasi geografis tidak biasa

Indikator Detection Yang Bisa Dipasang Besok

Azure Sentinel Query: Deteksi serial console access ke VM tanpa MFA challenge
EDR Rule: Alert pada PowerShell yang mengakses browser memory space (lsass.exe, chrome.exe)
Custom Log Analytics: Flag session tokens yang digunakan dari multiple geolocations dalam waktu singkat

// Butuh respons insiden serupa?

Tim IR + forensik kami standby 24/7. Audit cepat 30 menit, gratis, NDA-ready.

KONTAK TIM WHATSAPP

TIMELINE

2021-12

Lapsus pertama kali muncul, ekstort NVIDIA 1TB source code

2022-02

Samsung kehilangan 190GB source code Galaxy

2022-03-20

Lapsus tampilkan screenshot Bing dan Cortana source — Microsoft konfirmasi breach

2022-03-22

Microsoft Threat Intel rilis report DEV-0537 (Lapsus)

2022-03-24

7 remaja UK ditangkap polisi London City

2023

Uber kembali dibobol pelaku terkait, MFA push fatigue jadi tren attack global

2024

Pemimpin Lapsus dijatuhi hukuman penjara seumur hidup di rumah sakit jiwa

PELAJARAN UNTUK TIM ANDA

MFA push fatigue dapat dimitigasi dengan number matching atau hardware token FIDO2
Disable SMS MFA — tunneling SIM swap masih sangat aktif di 2026
Conditional Access policy harus enforce device compliance + geofencing
Sign-in logs Entra ID adalah primary evidence — retain 90+ hari minimum
Session token theft (Stealc, Vidar, RedLine) sekarang lebih murah dari $10 di forum Russia

SUMBER

JANGAN JADI BARIS BERIKUTNYA DI ARSIP INI

Setiap heist di sini dimulai dengan kelemahan yang masih ada hari ini. Kami petakan kelemahan Anda sebelum yang tak diundang menemukannya duluan.

AUDIT GRATIS 30 MENIT WA SEKARANG

DISKUSI (0)

Belum ada komentar. Jadi yang pertama bagikan analisis Anda.