Новости TA577 меняет тактику: фишинговые письма для кражи NTLM-хэшей

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Миру предстоит узнать, к чему приведет новая техника атаки группы.


zvl8zf1l02ap3jje3tm6iqt2smdrja6i.jpg


ИБ-компания Proofpoint Для просмотра ссылки Войди или Зарегистрируйся что группировка TA577 изменила тактику своих атак. Теперь хакеры используют фишинговые электронные письма для кражи хэшей аутентификации NT LAN Manager ( NTLM ), что позволяет осуществлять захват учетных записей.

В частности, на протяжении двух волн атак 26 и 27 февраля 2024 года были группа разослала тысячи писем сотням организаций по всему миру с целью кражи NTLM хэшей сотрудников.

Хэши NTLM используются в Windows для аутентификации и обеспечения безопасности сеансов. Злоумышленники могут использовать украденные хэши для взлома паролей или для атак типа «Pass-the-Hash» , позволяющих аутентифицироваться на удаленных серверах без необходимости расшифровки паролей.

Метод атаки включает в себя отправку фишинговых писем, которые кажутся ответами на предыдущие сообщения жертвы – метод, известный как thread hijacking. К электронным письмам прикрепляются уникальные (для каждой жертвы) ZIP-архивы, содержащие HTML-файлы, которые используют метатеги META refresh для запуска автоматического подключения к текстовому файлу на SMB -сервере. Такая техника позволяет киберпреступникам красть NTLM-хэши при попытке устройства Windows подключиться к серверу.

Proofpoint подчеркивает, что злоумышленники доставляли вредоносные архивы, чтобы обойти защиту почтовых клиентов, обновленных после июля 2023 года. Отмечается, что цель атак – именно захват NTLM-хэшей, а не доставка вредоносных программ.

Специалисты указывают, что для использования украденных хэшей в атаках на сети необходимо, чтобы в учетных записях была отключена многофакторная аутентификация (MFA). Также предполагается, что кража хэшей может служить формой разведки для определения ценных жертв.

Среди рекомендуемых мер защиты – настройка фильтрации электронной почты для блокировки сообщений, содержащих архивы с HTML-файлами, и конфигурация брандмауэра для блокировки исходящих SMB-соединений (обычно порты 445 и 139). Для пользователей Windows 11 Microsoft ввела дополнительную функцию безопасности, предотвращающую атаки на основе NTLM через SMB.
 
Источник новости
www.securitylab.ru

Похожие темы