Sikkerhedsbrud hos Vercel startede med malware forklædt som Roblox-cheats

Malware forklædt som Roblox-cheats banede vejen for angrebet

Et sofistikeret cyberangreb mod cloud-platformen Vercel begyndte med en infektion på en medarbejders computer, der havde søgt efter Roblox-cheats. Ifølge en sikkerhedsbulletin udsendt af Vercel søgte medarbejderen på Context.ai efter sårbarheder i spil, hvilket førte til installation af Lumma Stealer-malware.

Malwaren stjal følsomme data, herunder OAuth-tokens, som senere blev brugt til at kompromittere en Vercel-medarbejders Google Workspace-konto. Angriberen udnyttede derefter adgangen til at infiltrere Vercel’s interne systemer og stjæle miljøvariabler, der ikke var markeret som følsomme.

Angriberen bevægede sig gennem flere systemer

Ifølge Vercel’s undersøgelse begyndte angrebet ikke direkte hos dem, men via tredjepartssystemer og -forbindelser, der var blevet efterladt eksponerede af medarbejdere. Angriberen bevægede sig gennem flere interne systemer, herunder Context.ai’s AWS-miljø, før det nåede frem til Vercel.

Vercel og Context.ai har begge påpeget, at den anden part bærer en del af ansvaret for bruddet. Context.ai medgav, at angrebet førte til adgang til deres AWS-miljø og OAuth-tokens for nogle brugere, herunder et token til en Vercel-medarbejders Google Workspace-konto.

OAuth-token udnyttet til at kompromittere Vercel

Vercel oplyser, at angriberen brugte det stjålne OAuth-token til at overtage medarbejderens Google Workspace-konto. Dette gav adgang til nogle af Vercel’s miljøer og miljøvariabler, der ikke var beskyttet tilstrækkeligt. Virksomheden har endnu ikke oplyst, hvilke specifikke systemer der blev kompromitteret, eller præcist hvordan angriberen fik adgang til kundedata.

Vercel’s CEO, Guillermo Rauch, udtalte på X (tidligere Twitter), at angribergruppen sandsynligvis er meget sofistikeret og muligvis har fået hjælp fra kunstig intelligens til at fremskynde angrebet:

"Vi mener, at angrebsgruppen er yderst sofistikeret, og jeg mistænker stærkt, at de er blevet betydeligt hjulpet af AI. De bevægede sig med en overraskende hastighed og havde en dyb forståelse af Vercels systemer."

Trusselsgruppe påstår ansvar, men eksperter er skeptiske

En trusselsgruppe ved navn ShinyHunters har påstået ansvaret for angrebet i en opslag på Telegram. Gruppen forsøger at sælge de stjålne data, som angiveligt inkluderer adgangsnøgler, kildekode og databaser.

Imidlertid mener eksperter som Austin Larsen, hovedtrusselsanalytiker hos Google Threat Intelligence, at gruppen sandsynligvis er en bedrager, der forsøger at udnytte et etableret navn for at øge sin troværdighed:

"Angriberen er sandsynligvis en bedrager, der forsøger at bruge et kendt navn til at puste sin notoritet op. Uanset hvem der står bag, er risikoen for eksponering reel."

Vercel opfordrer kunder til at skifte adgangskoder

Vercel har oplyst, at et begrænset antal af deres kunder er blevet påvirket af angrebet. Virksomheden har straks rådgivet disse kunder til at rotere deres adgangskoder og gennemgå aktivitetslogfiler. Derudover opfordrer Vercel sine kunder til at gennemgå og rotere variabler, der indeholder hemmeligheder.

Både Vercel og Context.ai har igangsat separate og koordinerede undersøgelser med hjælp fra CrowdStrike og Mandiant. Angrebet viser, hvilke risici der er forbundet med overtilladte integrationer og sårbare tredjepartssystemer i cloud-miljøer.

Sådan beskytter du dig mod lignende angreb

• Begræns OAuth-tokens: Giv kun de nødvendige tilladelser og gennemgå regelmæssigt, hvilke apps der har adgang til dine konti.
• Overvåg aktivitetslogfiler: Hold øje med mistænkelig aktivitet i dine systemer og logfiler.
• Anvend princippet om mindst privilegium: Begræns adgangsniveauer for medarbejdere og systemer til det absolut nødvendige.
• Opdater og patch systemer: Sørg for, at alle systemer og software er opdaterede for at lukke kendte sårbarheder.
• Uddan medarbejdere: Sørg for, at medarbejdere er opmærksomme på risici ved at downloade ukendte filer eller søge efter piratkopierede software.