Hackers που συνδέονται με τη Ρωσία εκμεταλλεύτηκαν πρόσφατη ευπάθεια στο Windows NT LAN Manager (NTLM) ως zero-day, στο πλαίσιο κυβερνοεπιθέσεων κατά της Ουκρανίας.
Αυτή η ευπάθεια, γνωστή ως CVE-2024-43451 (βαθμός CVSS: 6.5), αφορά μια ευπάθεια παραποίησης που επιτρέπει την αποκάλυψη του NTLM hash και μπορεί να χρησιμοποιηθεί για την κλοπή του NTLMv2 hash ενός χρήστη. Η Microsoft την διόρθωσε νωρίτερα αυτή την εβδομάδα.
Σύμφωνα με ανακοίνωση της Microsoft, «ελάχιστη αλληλεπίδραση με ένα κακόβουλο αρχείο από τον χρήστη, όπως η επιλογή (μονό κλικ), η επιθεώρηση (δεξί κλικ) ή η εκτέλεση άλλης ενέργειας εκτός από το άνοιγμα ή την εκτέλεση, μπορεί να ενεργοποιήσει αυτήν την ευπάθεια».
Διαβάστε σχετικά: Οι Ρώσοι hackers UNC5812 στοχεύουν Ουκρανούς στρατιώτες με malware
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Η ισραηλινή εταιρεία κυβερνοασφάλειας ClearSky, που ανακάλυψε την εκμετάλλευση της ευπάθειας zero-day τον Ιούνιο του 2024, ανέφερε ότι έχει χρησιμοποιηθεί ως μέρος μιας αλυσίδας επιθέσεων που διαδίδει το κακόβουλο λογισμικό Spark RAT. «Η ευπάθεια ενεργοποιεί αρχεία URL, οδηγώντας σε κακόβουλη δραστηριότητα», δήλωσε η εταιρεία, προσθέτοντας ότι τα κακόβουλα αρχεία φιλοξενούνταν σε έναν επίσημο ιστότοπο της κυβέρνησης της Ουκρανίας, ο οποίος επιτρέπει στους χρήστες να κατεβάσουν ακαδημαϊκά πιστοποιητικά.
Η αλυσίδα επίθεσης περιλαμβάνει την αποστολή phishing emails από έναν συμβιβασμένο κυβερνητικό διακομιστή της Ουκρανίας («doc.osvita-kp.gov[.]ua»), που προτρέπει τους παραλήπτες να ανανεώσουν τα ακαδημαϊκά τους πιστοποιητικά κάνοντας κλικ σε μια παγίδα URL ενσωματωμένη στο μήνυμα. Αυτό οδηγεί στη λήψη ενός ZIP αρχείου που περιέχει ένα κακόβουλο αρχείο συντόμευσης διαδικτύου (.URL). Η ευπάθεια ενεργοποιείται όταν το θύμα αλληλεπιδρά με το αρχείο URL κάνοντας δεξί κλικ, διαγράφοντας ή σύροντάς το σε άλλο φάκελο.
Δείτε επίσης: Ρώσοι hackers στοχεύουν στρατιωτικές υποδομές της Ουκρανίας
Το αρχείο URL σχεδιάζεται για να δημιουργεί συνδέσεις με έναν απομακρυσμένο διακομιστή («92.42.96[.]30») για να κατεβάσει επιπλέον payloads, συμπεριλαμβανομένου του Spark RAT. «Επιπλέον, μια εκτέλεση sandbox σήμανε συναγερμό σχετικά με μια προσπάθεια μεταφοράς του NTLM (NT LAN Manager) Hash μέσω του πρωτοκόλλου SMB (Server Message Block)», ανέφερε η ClearSky. «Μόλις αποκτήσει το NTLM Hash, ένας hacker μπορεί να εκτελέσει μια επίθεση Pass-the-Hash για να ταυτιστεί με τον χρήστη που σχετίζεται με το κατεχόμενο hash, χωρίς να χρειάζεται τον αντίστοιχο κωδικό πρόσβασης».
Η Ομάδα Αντίκτυπου Υπολογιστών της Ουκρανίας (CERT-UA) έχει συνδέσει τη δραστηριότητα αυτή με έναν πιθανό Ρώσο απειλητικό παράγοντα, γνωστό ως UAC-0194. Τις τελευταίες εβδομάδες, ο οργανισμός έχει προειδοποιήσει ότι phishing emails με φορολογικά κίνητρα χρησιμοποιούνται για τη διάδοση ενός νόμιμου λογισμικού απομακρυσμένης επιφάνειας εργασίας, ονόματι LiteManager, περιγράφοντας την εκστρατεία επίθεσης ως οικονομικά κίνητρα και υλοποιούμενη από έναν απειλητικό παράγοντα που ονομάζεται UAC-0050.
Διαβάστε περισσότερα: Crypto wallets στοχεύονται μέσω κακόβουλων πακέτων Python
«Οι λογιστές επιχειρήσεων που εργάζονται με απομακρυσμένα τραπεζικά συστήματα βρίσκονται σε ιδιαίτερα επικίνδυνη ζώνη», προειδοποίησε η CERT-UA. «Σε ορισμένες περιπτώσεις, όπως αποδεικνύεται από τα αποτελέσματα υπολογιστικών εγκληματολογικών ερευνών, μπορεί να χρειαστούν λιγότερο από μία ώρα από τη στιγμή της αρχικής επίθεσης μέχρι τη στιγμή κλοπής χρημάτων».
Πηγή: thehackernews