Η ομάδα hacking γνωστή ως TA577 άλλαξε πρόσφατα τακτική χρησιμοποιώντας μηνύματα ηλεκτρονικού ταχυδρομείου phishing για να κλέψει hshes ελέγχου ταυτότητας NT LAN Manager (NTLM) για να πραγματοποιήσει πειρατεία λογαριασμών.

Το TA577 θεωρείται ένας αρχικός διαμεσολαβητής πρόσβασης (IAB), ο οποίος προηγουμένως σχετιζόταν με το Qbot και συνδεόταν με μολύνσεις ransomware Black Basta.

Η εταιρεία ασφάλειας ηλεκτρονικού ταχυδρομείου Proofpoint αναφέρει σήμερα ότι αν και έχει δει το TA577 να δείχνει μια προτίμηση στην ανάπτυξη του Pikabot πρόσφατα, δύο πρόσφατα κύματα επιθέσεων καταδεικνύουν μια διαφορετική τακτική.

Ξεχωριστές εκστρατείες του TA577 που ξεκίνησαν στις 26 και 27 Φεβρουαρίου 2024, διέδωσαν χιλιάδες μηνύματα σε εκατοντάδες οργανισμούς σε όλο τον κόσμο, στοχεύοντας στους NTLM hashes των εργαζομένων.

Τα hashes NTLM χρησιμοποιούνται στα Windows για έλεγχο ταυτότητας και ασφάλεια συνόδου και μπορούν να συλλεχθούν για offline cracking κωδικών πρόσβασης για να ληφθεί ο κωδικός πρόσβασης απλού κειμένου.

Επιπλέον, μπορούν να χρησιμοποιηθούν σε επιθέσεις "pass-the-hash" που δεν περιλαμβάνουν καθόλου σπάσιμο, όπου οι επιτιθέμενοι χρησιμοποιούν το hashes ως έχει για την πιστοποίηση ταυτότητας σε έναν απομακρυσμένο διακομιστή ή υπηρεσία.

Τα κλεμμένα hashes μπορούν, υπό ορισμένες συνθήκες και ανάλογα με τα μέτρα ασφαλείας που εφαρμόζονται, να επιτρέψουν στους επιτιθέμενους να κλιμακώσουν τα προνόμιά τους, να καταλάβουν λογαριασμούς, να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, να παρακάμψουν τα προϊόντα ασφαλείας και να κινηθούν πλευρικά μέσα σε ένα παραβιασμένο δίκτυο.

Η νέα εκστρατεία ξεκίνησε με ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" που εμφανίζονται ως απαντήσεις σε προηγούμενη συζήτηση ενός στόχου, μια τεχνική γνωστή ως πειρατεία νήματος.

Τα μηνύματα ηλεκτρονικού ταχυδρομείου επισυνάπτουν μοναδικά (ανά θύμα) αρχεία ZIP που περιέχουν αρχεία HTML τα οποία χρησιμοποιούν ετικέτες META refresh HTML για να ενεργοποιήσουν μια αυτόματη σύνδεση με ένα αρχείο κειμένου σε έναν εξωτερικό διακομιστή Server Message Block (SMB).

Όταν η συσκευή Windows συνδέεται στο διακομιστή, θα επιχειρήσει αυτόματα να εκτελέσει μια πρόκληση/απάντηση NTLMv2, επιτρέποντας στον απομακρυσμένο διακομιστή που ελέγχεται από τον επιτιθέμενο να κλέψει τα hashes ελέγχου ταυτότητας NTLM.

"Είναι αξιοσημείωτο ότι το TA577 παρέδωσε την κακόβουλη HTML σε ένα αρχείο zip για να δημιουργήσει ένα τοπικό αρχείο στον κεντρικό υπολογιστή", αναφέρει η έκθεση της Proofpoint.

"Εάν το URI του σχήματος του αρχείου στέλνονταν απευθείας στο σώμα του email, η επίθεση δεν θα λειτουργούσε σε πελάτες αλληλογραφίας του Outlook που έχουν επιδιορθωθεί από τον Ιούλιο του 2023".

Η Proofpoint αναφέρει ότι αυτές οι διευθύνσεις URL δεν παρέδωσαν κανένα ωφέλιμο φορτίο κακόβουλου λογισμικού, οπότε ο πρωταρχικός τους στόχος φαίνεται να είναι η σύλληψη των NTLM hashes.

Η Proofpoint αναφέρει συγκεκριμένα τεχνουργήματα που υπάρχουν στους διακομιστές SMB που είναι γενικά μη τυποποιημένα, όπως η εργαλειοθήκη ανοικτού κώδικα Impacket, γεγονός που αποτελεί ένδειξη ότι οι εν λόγω διακομιστές χρησιμοποιούνται σε επιθέσεις phishing.

Ο επαγγελματίας στον τομέα της ασφάλειας στον κυβερνοχώρο Brian στο Πίτσμπουργκ σημειώνει ότι για να μπορέσουν οι φορείς απειλών να χρησιμοποιήσουν αυτούς τους κλεμμένους hashes για να παραβιάσουν δίκτυα, πρέπει να απενεργοποιηθεί ο έλεγχος ταυτότητας πολλαπλών παραγόντων στους λογαριασμούς.

Ο ερευνητής ευπαθειών Will Dormann προτείνει ότι είναι πιθανό οι hashes να μην εκλάπησαν για να παραβιάσουν δίκτυα, αλλά μάλλον ως μια μορφή αναγνώρισης για την εύρεση πολύτιμων στόχων.

"Θα μπορούσα να φανταστώ ότι ο συνδυασμός ονόματος τομέα, ονόματος χρήστη και ονόματος κεντρικού υπολογιστή θα μπορούσε να ξετρυπώσει κάποιους ζουμερούς στόχους;", έγραψε στο Twitter ο Dormann.

Η Proofpoint αναφέρει ότι ο περιορισμός της πρόσβασης των επισκεπτών σε διακομιστές SMB από μόνος του δεν μετριάζει την επίθεση TA577, καθώς αξιοποιεί τον αυτόματο έλεγχο ταυτότητας στον εξωτερικό διακομιστή που παρακάμπτει την ανάγκη πρόσβασης των επισκεπτών.

Ένα δυνητικά αποτελεσματικό μέτρο θα μπορούσε να είναι η διαμόρφωση ενός τείχους προστασίας ώστε να μπλοκάρει όλες τις εξερχόμενες συνδέσεις SMB (συνήθως στις θύρες 445 και 139), σταματώντας την αποστολή των NTLM hashes.

Ένα άλλο μέτρο προστασίας θα ήταν η εφαρμογή φιλτραρίσματος ηλεκτρονικού ταχυδρομείου που μπλοκάρει τα μηνύματα που περιέχουν αρχεία HTML σε μορφή zip, καθώς αυτά μπορούν να προκαλέσουν συνδέσεις σε μη ασφαλή τελικά σημεία κατά την εκκίνηση.

Είναι επίσης δυνατή η ρύθμιση παραμέτρων του "Network security: Περιορισμός NTLM: Εξερχόμενη κίνηση NTLM σε απομακρυσμένους διακομιστές' πολιτική ομάδας των Windows για την αποτροπή της αποστολής hashes NTLM. Ωστόσο, αυτό θα μπορούσε να οδηγήσει σε προβλήματα ελέγχου ταυτότητας έναντι νόμιμων διακομιστών.

Για τους οργανισμούς που χρησιμοποιούν τα Windows 11, η Microsoft εισήγαγε ένα πρόσθετο χαρακτηριστικό ασφαλείας για τους χρήστες των Windows 11 για τον αποκλεισμό των επιθέσεων που βασίζονται σε NTLM μέσω SMB, το οποίο θα αποτελούσε μια αποτελεσματική λύση.

πηγή via DeepL