- 13,854
- 20
- 8 Ноя 2022
Миру предстоит узнать, к чему приведет новая техника атаки группы.
ИБ-компания Proofpoint Для просмотра ссылки Войдиили Зарегистрируйся что группировка TA577 изменила тактику своих атак. Теперь хакеры используют фишинговые электронные письма для кражи хэшей аутентификации NT LAN Manager ( NTLM ), что позволяет осуществлять захват учетных записей.
В частности, на протяжении двух волн атак 26 и 27 февраля 2024 года были группа разослала тысячи писем сотням организаций по всему миру с целью кражи NTLM хэшей сотрудников.
Хэши NTLM используются в Windows для аутентификации и обеспечения безопасности сеансов. Злоумышленники могут использовать украденные хэши для взлома паролей или для атак типа «Pass-the-Hash» , позволяющих аутентифицироваться на удаленных серверах без необходимости расшифровки паролей.
Метод атаки включает в себя отправку фишинговых писем, которые кажутся ответами на предыдущие сообщения жертвы – метод, известный как thread hijacking. К электронным письмам прикрепляются уникальные (для каждой жертвы) ZIP-архивы, содержащие HTML-файлы, которые используют метатеги META refresh для запуска автоматического подключения к текстовому файлу на SMB -сервере. Такая техника позволяет киберпреступникам красть NTLM-хэши при попытке устройства Windows подключиться к серверу.
Proofpoint подчеркивает, что злоумышленники доставляли вредоносные архивы, чтобы обойти защиту почтовых клиентов, обновленных после июля 2023 года. Отмечается, что цель атак – именно захват NTLM-хэшей, а не доставка вредоносных программ.
Специалисты указывают, что для использования украденных хэшей в атаках на сети необходимо, чтобы в учетных записях была отключена многофакторная аутентификация (MFA). Также предполагается, что кража хэшей может служить формой разведки для определения ценных жертв.
Среди рекомендуемых мер защиты – настройка фильтрации электронной почты для блокировки сообщений, содержащих архивы с HTML-файлами, и конфигурация брандмауэра для блокировки исходящих SMB-соединений (обычно порты 445 и 139). Для пользователей Windows 11 Microsoft ввела дополнительную функцию безопасности, предотвращающую атаки на основе NTLM через SMB.
ИБ-компания Proofpoint Для просмотра ссылки Войди
В частности, на протяжении двух волн атак 26 и 27 февраля 2024 года были группа разослала тысячи писем сотням организаций по всему миру с целью кражи NTLM хэшей сотрудников.
Хэши NTLM используются в Windows для аутентификации и обеспечения безопасности сеансов. Злоумышленники могут использовать украденные хэши для взлома паролей или для атак типа «Pass-the-Hash» , позволяющих аутентифицироваться на удаленных серверах без необходимости расшифровки паролей.
Метод атаки включает в себя отправку фишинговых писем, которые кажутся ответами на предыдущие сообщения жертвы – метод, известный как thread hijacking. К электронным письмам прикрепляются уникальные (для каждой жертвы) ZIP-архивы, содержащие HTML-файлы, которые используют метатеги META refresh для запуска автоматического подключения к текстовому файлу на SMB -сервере. Такая техника позволяет киберпреступникам красть NTLM-хэши при попытке устройства Windows подключиться к серверу.
Proofpoint подчеркивает, что злоумышленники доставляли вредоносные архивы, чтобы обойти защиту почтовых клиентов, обновленных после июля 2023 года. Отмечается, что цель атак – именно захват NTLM-хэшей, а не доставка вредоносных программ.
Специалисты указывают, что для использования украденных хэшей в атаках на сети необходимо, чтобы в учетных записях была отключена многофакторная аутентификация (MFA). Также предполагается, что кража хэшей может служить формой разведки для определения ценных жертв.
Среди рекомендуемых мер защиты – настройка фильтрации электронной почты для блокировки сообщений, содержащих архивы с HTML-файлами, и конфигурация брандмауэра для блокировки исходящих SMB-соединений (обычно порты 445 и 139). Для пользователей Windows 11 Microsoft ввела дополнительную функцию безопасности, предотвращающую атаки на основе NTLM через SMB.
- Источник новости
- www.securitylab.ru
