Компания Proofpoint обнаружила известного киберпреступника TA577, использующего новую цепочку атак для демонстрации необычной цели: кражи аутентификационной информации NT LAN Manager (NTLM). Эта операция может быть использована для сбора конфиденциальной информации и для последующих действий.
TA577 APT
Proofpoint обнаружила как минимум две кампании, использующие одну и ту же технику для кражи хэшей NTLM 26 и 27 февраля 2024 года. Кампании включали десятки тысяч сообщений, направленных на сотни организаций по всему миру. Сообщения появлялись как ответы на предыдущие письма, что называется захватом темы, и содержали вложения в формате HTML.
Каждое вложение .zip имеет уникальный хэш файла, а HTML-файлы в сжатых файлах настраиваются для каждого получателя. При открытии HTML-файл запускал попытку системного подключения к серверу Server Message Block (SMB) через мета-обновление к URI файловой схемы, заканчивающемуся на .txt. То есть файл автоматически связывался с внешним SMB-ресурсом, принадлежащим злоумышленнику. Proofpoint не наблюдала доставки вредоносного ПО с этих URL-адресов, вместо этого исследователи с высокой степенью уверенности считают, что целью TA577 является перехват пар NTLMv2 Challenge/Response с SMB-сервера для кражи хэшей NTLM, основываясь на характеристиках цепочки атак и используемых инструментах.
Эти хэши могут быть использованы для взлома паролей или для атак типа "Pass-The-Hash" с использованием других уязвимостей в целевой организации для перемещения внутри пораженной среды. К признакам, подтверждающим эту теорию, относятся артефакты на SMB-серверах, указывающие на использование для атаки инструментария Impacket с открытым исходным кодом. Использование Impacket на SMB-сервере можно определить по стандартному вызову NTLM-сервера "aaaaaaaaaaaa" и стандартному GUID, наблюдаемому в трафике. Подобная практика редко встречается на стандартных SMB-серверах.
Любая разрешенная попытка подключения к этим SMB-серверам может привести к компрометации хэшей NTLM, а также к раскрытию другой конфиденциальной информации, такой как имена компьютеров, доменные имена и имена пользователей открытым текстом.
Примечательно, что TA577 доставлял вредоносный HTML в zip-архиве для создания локального файла на хосте. Если бы URI схемы файла был отправлен непосредственно в теле письма, атака не сработала бы на почтовых клиентах Outlook, исправленных после июля 2023 года. Отключение гостевого доступа к SMB не снижает эффективность атаки, поскольку файл должен попытаться аутентифицироваться на внешнем SMB-сервере, чтобы определить, следует ли ему использовать гостевой доступ.
Indicators of Compromise
URLs
- file://103.124.104.22/zjxb/bO.txt
- file://103.124.104.76/wsr6oh/Y.txt
- file://103.124.105.208/wha5uxh/D.txt
- file://103.124.105.233/yusx/dMA.txt
- file://103.124.106.224/uuny19/bb1nG.txt
- file://104.129.20.167/xhsmd/bOWEU.txt
- file://146.19.213.36/dbna/H.txt
- file://146.19.213.36/vei/yEZZ.txt
- file://155.94.208.137/tgnd/zH9.txt
- file://176.123.2.146/5aohv/9mn.txt
- file://176.123.2.146/vbcsn/UOx.txt
- file://66.63.188.19/bmkmsw/2.txt
- file://85.239.33.149/naams/p3aV.txt
- file://89.117.1.160/4bvt1yw/iC.txt
- file://89.117.1.160/zkf2r4j/VmD.txt
- file://89.117.1.161/epxq/A.txt
- file://89.117.1.161/mtdi/ZQCw.txt
- file://89.117.2.33/7ipw/7ohq.txt
- file://89.117.2.33/hvwsuw/udrh.txt
- file://89.117.2.34/3m3sxh6/IuM.txt
- file://89.117.2.34/4qp/8Y.txt