O ator de ameaço espargido porquê TA577 foi observado o uso de anexos de registo ZIP em e-mails de phishing com o objetivo de roubar hashes do NT LAN Manager (NTLM).
A novidade enxovia de ataque “pode ser usada para fins de coleta de informações confidenciais e para permitir atividades subsequentes”, disse a empresa de segurança corporativa Proofpoint em um relatório na segunda-feira.
Pelo menos duas campanhas aproveitando esta abordagem foram observadas nos dias 26 e 27 de fevereiro de 2024, acrescentou a empresa. As ondas de phishing disseminaram milhares de mensagens e atingiram centenas de organizações em todo o mundo.
As próprias mensagens apareceram porquê respostas a e-mails anteriores, uma técnica conhecida chamada thread hijacking, numa tentativa de aumentar a verosimilhança de sucesso dos ataques.
Os anexos ZIP vêm com um registo HTML projetado para entrar em contato com um servidor Server Message Block (SMB) controlado por um ator.
“O objetivo do TA577 é tomar pares de repto/resposta NTLMv2 do servidor SMB para roubar hashes NTLM com base nas características da enxovia de ataque e nas ferramentas usadas”, disse a empresa, que poderia logo ser usado para o tipo pass-the-hash (PtH). ataques.
Isso significa que os adversários que possuem um hash de senha não precisam da senha subjacente para autenticar uma sessão, permitindo-lhes, em última estudo, mover-se através de uma rede e obter chegada não autorizado a dados valiosos.
O TA577, que se sobrepõe a um cluster de atividades monitorado pela Trend Micro porquê Water Curupira, é um dos grupos de crimes cibernéticos mais sofisticados. No pretérito, ele foi associado à distribuição de famílias de malware porquê QakBot e PikaBot.
“A taxa com que o TA577 adota e distribui novas táticas, técnicas e procedimentos (TTPs) sugere que o ator da ameaço provavelmente tem tempo, recursos e experiência para iterar e testar rapidamente novos métodos de entrega”, disse Proofpoint.
Ele também descreveu o ator da ameaço porquê consciente das mudanças no cenário das ameaças cibernéticas, adaptando e refinando rapidamente seus métodos comerciais e de entrega para contornar a detecção e descartar uma variedade de cargas úteis. É altamente recomendável que as organizações bloqueiem SMB de saída para evitar a exploração.