Η ομάδα χάκερ γνωστή ως TA577 έχει πρόσφατα αλλάξει τακτική χρησιμοποιώντας phishing emails για να κλέψει hashes πιστοποίησης του Windows NT LAN Manager (NTLM) με σκοπό να πραγματοποιήσει απάτη λογαριασμών.
Δείτε επίσης: Οι αρχές “χτύπησαν” την phishing υπηρεσία BulletProftLink
Η TA577 θεωρείται ένας μεσάζοντας αρχικής πρόσβασης (IAB), προηγουμένως συνδεδεμένος με το Qbot και συνδεδεμένος με μολύνσεις από το Black Basta ransomware.
Η εταιρεία ασφάλειας ηλεκτρονικού ταχυδρομείου Proofpoint αναφέρει ότι αν και είδε την TA577 να προτιμά πρόσφατα την υιοθέτηση του Pikabot, δύο πρόσφατα κύματα επιθέσεων δείχνουν μια διαφορετική τακτική.
Ορισμένες επιθέσεις της TA577 που ξεκίνησαν στις 26 και 27 Φεβρουαρίου 2024, διέδωσαν χιλιάδες μηνύματα σε εκατοντάδες οργανισμούς παγκοσμίως, στοχεύοντας στα Windows NTLM hashes των εργαζομένων.
Τα hashes NTLM χρησιμοποιούνται στα Windows για την ταυτοποίηση και την ασφάλεια της συνεδρίας και μπορούν να καταγραφούν για αποκρυπτογράφηση του κειμένου του κωδικού πρόσβασης εκτός σύνδεσης. Επιπλέον, μπορούν να χρησιμοποιηθούν σε επιθέσεις “pass-the-hash” που δεν περιλαμβάνουν καθόλου cracking, όπου οι επιτιθέμενοι χρησιμοποιούν το hash όπως είναι για να πιστοποιηθούν σε απομακρυσμένο διακομιστή ή υπηρεσία.
Τα κλεμμένα hashes μπορούν, υπό συγκεκριμένες συνθήκες και ανάλογα με τα μέτρα ασφαλείας που έχουν ληφθεί, να επιτρέψουν στους εισβολείς να επεκτείνουν τα προνόμιά τους, να “απαγάγουν” λογαριασμούς, να έχουν πρόσβαση σε ευαίσθητες πληροφορίες, να αποφεύγουν προϊόντα ασφαλείας και να κινούνται πλευρικά μέσα σε μια διεισδυμένη δίκτυο.
Δείτε ακόμα: Αύξηση των phishing emails κατά 1265%: Ο ρόλος του ChatGPT
Η TA577 χρησιμοποιεί το phishing για κλοπή των NTLM hashes
Η νέα καμπάνια της TA577 ξεκίνησε με phishing emails που φαίνεται να είναι απαντήσεις σε προηγούμενη συζήτηση του στόχου, μια τεχνική που είναι γνωστή ως thread hijacking.
Τα email προσαρμόζουν μοναδικά (ανά θύμα) αρχεία ZIP που περιέχουν αρχεία HTML και χρησιμοποιούν ετικέτες HTML META refresh για να ενεργοποιήσουν μια αυτόματη σύνδεση με ένα αρχείο κειμένου σε έναν εξωτερικό διακομιστή Server Message Block (SMB).
Όταν τη συσκευή των Windows συνδέεται στον διακομιστή, θα προσπαθήσει αυτόματα να εκτελέσει μια πρόκληση/απάντηση NTLMv2, επιτρέποντας στον απομακρυσμένο επιτιθέμενο-ελεγχόμενο διακομιστή της ομάδας TA577 να κλέψει τα NTLM hashes.
Η Proofpoint αναφέρει ότι αυτές οι διευθύνσεις URL δεν παρέδωσαν κανένα κακόβουλο λογισμικό, οπότε ο κύριος στόχος τους φαίνεται να είναι η καταγραφή των καταλόγων NTLM.
Η Proofpoint αναφέρει συγκεκριμένα αρχεία που υπάρχουν στους διακομιστές SMB και δεν είναι κανονικά, όπως το εργαλείο ανοιχτού κώδικα Impacket, το οποίο υποδεικνύει ότι αυτοί οι διακομιστές χρησιμοποιούνται σε επιθέσεις phishing.
Δείτε επίσης: Phishing emails: Προειδοποιητικά σημάδια και tips προστασίας
Ποιες είναι οι καλύτερες πρακτικές για την αποφυγή phishing attacks
Για να προστατευτείτε από επιθέσεις, όπως αυτή της ομάδας TA577 που κλέβει hashes πιστοποίησης του Windows NTLMΗ, πρώτη και πιο σημαντική πρακτική είναι η εκπαίδευση. Δεύτερον, χρησιμοποιήστε πάντα ένα ενημερωμένο λογισμικό antivirus και ένα πρόγραμμα ασφάλειας ηλεκτρονικού υπολογιστή. Τρίτον, προσέξτε τα emails που ζητούν προσωπικές πληροφορίες. Οι νόμιμες εταιρείες δεν θα σας ζητήσουν ποτέ να παράσχετε τους κωδικούς πρόσβασης ή τις τραπεζικές σας πληροφορίες μέσω email. Τέλος, χρησιμοποιήστε διπλή πιστοποίηση όπου είναι δυνατόν, αφού ακόμα κι αν κάποιος καταφέρει να λάβει τον κωδικό πρόσβασής σας, δεν θα μπορεί να συνδεθεί στον λογαριασμό σας χωρίς ένα δεύτερο στοιχείο πιστοποίησης, όπως ένας κωδικός που στέλνεται στο κινητό σας τηλέφωνο.
Πηγή: bleepingcomputer
