Grupul de hackeri cunoscut sub numele de TA577 a schimbat recent tactica, folosind e-mailuri de phishing pentru a fura hash-urile de autentificare NT LAN Manager (NTLM) pentru a efectua deturnări de conturi.
TA577 este considerat un broker de acces inițial (IAB), anterior asociat cu Qbot și legat de infecțiile ransomware Black Basta.
Firma de securitate Proofpoint raportează astăzi că, deși a văzut TA577 manifestând o preferință pentru implementarea Pikabot recent, două valuri de atacuri recente demonstrează o tactică diferită.
Campaniile distincte ale TA577 lansate pe 26 și 27 februarie 2024, au diseminat mii de mesaje către sute de organizații din întreaga lume, vizând hash-urile NTLM ale angajaților.
Hash-urile NTLM sunt folosite în Windows pentru autentificare și securitatea sesiunii și pot fi capturate pentru crack-uit offline pentru a obține parola în text simplu.
În plus, acestea pot fi folosite în atacuri ‘pass-the-hash’ care nu implică deloc crack-uitul, unde atacatorii folosesc hash-ul așa cum este pentru a se autentifica la un server sau serviciu la distanță.
Hash-urile furate pot, în anumite circumstanțe și în funcție de măsurile de securitate implementate, permite atacatorilor să-și escaladeze privilegiile, să deturneze conturi, să acceseze informații sensibile, să evite produsele de securitate și să se deplaseze lateral într-o rețea compromisă.
Noua campanie a început cu e-mailuri de phishing care par a fi răspunsuri la discuțiile anterioare ale unei ținte, o tehnică cunoscută sub numele de deturnare a firului de discuție.
E-mailurile atașează arhive ZIP unice (per victimă) conținând fișiere HTML care folosesc etichete HTML META refresh pentru a declanșa o conexiune automată către un fișier text de pe un server extern Server Message Block (SMB).
Când dispozitivul Windows se conectează la server, va încerca automat să efectueze un Challenge/Response NTLMv2, permițând serverului controlat de atacator să fure hash-urile de autentificare NTLM.
‘Este remarcabil faptul că TA577 a livrat HTML-ul dăunător într-o arhivă zip pentru a genera un fișier local pe gazdă,’ se arată în raportul Proofpoint.
‘Dacă URI-ul schemei fișierului ar fi fost trimis direct în corpul e-mailului, atacul nu ar fi funcționat pe clienții de e-mail Outlook patch-uiți din iulie 2023.’
Proofpoint menționează că aceste URL-uri nu livrează nicio încărcătură de malware, așa că obiectivul lor principal pare să fie capturarea hash-urilor NTLM.
Proofpoint menționează artefacte specifice prezente pe serverele SMB care sunt în general non-standard, cum ar fi toolkit-ul open-source Impacket, ceea ce indică faptul că aceste servere sunt folosite în atacuri de phishing.
Profesionistul în securitate cibernetică Brian din Pittsburgh observă că pentru actorii de amenințare să folosească aceste hash-uri furate pentru a compromite rețelele, autentificarea cu factori multipli trebuie să fie dezactivată pe conturi.
Cercetătorul de vulnerabilități Will Dormann sugerează că este posibil ca hash-urile să nu fie furate pentru a compromite rețelele, ci mai degrabă ca o formă de recunoaștere pentru a găsi ținte valoroase.
‘Îmi pot imagina că combinația de nume de domeniu, nume de utilizator și nume de gazdă ar putea descoperi unele ținte interesante?,’ a tweetuit Dormann.
Proofpoint spune că restricționarea accesului oaspeților la serverele SMB singure nu mitiguează atacul TA577, deoarece valorifică autentificarea automată către serverul extern care ocolește necesitatea accesului pentru oaspeți.
O măsură potențial eficientă ar putea fi configurarea unui firewall pentru a bloca toate conexiunile SMB de ieșire (în mod obișnuit porturile 445 și 139), oprind trimiterea hash-urilor NTLM.
O altă măsură de protecție ar fi implementarea unui filtru de e-mail care blochează mesajele care conțin fișiere HTML zippate, deoarece acestea pot declanșa conexiuni către puncte terminale nesigure la lansare.
Este de asemenea posibil să se configureze ‘Securitatea rețelei: Restricționare NTLM: Trafic NTLM de ieșire către serverele la distanță’ din politica de grup Windows pentru a preveni trimiterea hash-urilor NTLM. Cu toate acestea, aceasta ar putea duce la probleme de autentificare împotriva serverelor legitime.
Pentru organizațiile care folosesc Windows 11, Microsoft a introdus o caracteristică suplimentară de securitate pentru utilizatorii Windows 11 pentru a bloca atacurile bazate pe NTLM asupra SMB-urilor, ceea ce ar fi o soluție eficientă.
Leave a Reply