One Article Review
| Source |  ProofPoint |
|---|---|
| Identifiant | 8458761 |
| Date de publication | 2024-03-04 06:00:36 (vue: 2024-03-04 10:07:57) |
| Titre | La chaîne d'attaque inhabituelle de TA577 \\ mène au vol de données NTLM TA577\\'s Unusual Attack Chain Leads to NTLM Data Theft |
| Texte | Ce qui s'est passé Proofpoint a identifié l'acteur de menace cybercriminale notable TA577 en utilisant une nouvelle chaîne d'attaque pour démontrer un objectif inhabituellement observé: voler des informations d'authentification NT LAN Manager (NTLM).Cette activité peut être utilisée à des fins de collecte d'informations sensibles et pour permettre l'activité de suivi. Proofpoint a identifié au moins deux campagnes en tirant parti de la même technique pour voler des hachages NTLM les 26 et 27 février 2024. Les campagnes comprenaient des dizaines de milliers de messages ciblant des centaines d'organisations dans le monde.Les messages sont apparus sous forme de réponses aux e-mails précédents, appelés détournement de fil, et contenaient des pièces jointes HTML zippées. Exemple de message utilisant le détournement de thread contenant une pièce jointe zippée contenant un fichier HTML. Chaque pièce jointe .zip a un hachage de fichiers unique, et les HTML dans les fichiers compressés sont personnalisés pour être spécifiques pour chaque destinataire.Lorsqu'il est ouvert, le fichier HTML a déclenché une tentative de connexion système à un serveur de blocs de messages (SMB) via un actualisation Meta à un schéma de fichier URI se terminant par .txt.Autrement dit, le fichier contacterait automatiquement une ressource SMB externe appartenant à l'acteur de menace.ProofPoint n'a pas observé la livraison de logiciels malveillants de ces URL, mais les chercheurs évaluent à la grande confiance que l'objectif de Ta577 \\ est de capturer les paires de défi / réponse NTLMV2 du serveur SMB pour voler des hachages NTLM en fonction des caractéristiques de la chaîne d'attaque et des outils utilisés. Exemple HTML contenant l'URL (en commençant par «File: //») pointant vers la ressource SMB. Ces hachages pourraient être exploités pour la fissuration du mot de passe ou faciliter les attaques "pass-the-hash" en utilisant d'autres vulnérabilités au sein de l'organisation ciblée pour se déplacer latéralement dans un environnement touché.Les indications à l'appui de cette théorie comprennent des artefacts sur les serveurs SMB pointant vers l'utilisation de l'impaquette de boîte à outils open source pour l'attaque.L'utilisation d'Impacket sur le serveur SMB peut être identifiée par le défi du serveur NTLM par défaut "aaaaaaaaaaaaaaaaa" et le GUID par défaut observé dans le trafic.Ces pratiques sont rares dans les serveurs SMB standard. Capture de paquets observée (PCAP) de la campagne TA577. Toute tentative de connexion autorisée à ces serveurs SMB pourrait potentiellement compromettre les hachages NTLM, ainsi que la révélation d'autres informations sensibles telles que les noms d'ordinateurs, les noms de domaine et les noms d'utilisateur dans un texte clair. Il est à noter que TA577 a livré le HTML malveillant dans une archive zip pour générer un fichier local sur l'hôte.Si le schéma de fichiers URI était envoyé directement dans l'organisme de messagerie, l'attaque ne fonctionnerait pas sur les clients d'Outlook Mail patchés depuis juillet 2023. La désactivation de l'accès des clients à SMB n'atteint pas l'attaque, car le fichier doit tenter de s'authentifier auprès du serveur externe SMB ServerPour déterminer s'il doit utiliser l'accès des clients. Attribution TA577 est un acteur de menace de cybercriminalité éminent et l'un des principaux affiliés de QBOT avant la perturbation du botnet.Il est considéré comme un courtier d'accès initial (IAB) et Proofpoint a associé des campagnes TA577 avec des infections de ransomware de suivi, notamment Black Basta.Récemment, l'acteur favorise Pikabot comme charge utile initiale. Pourquoi est-ce important Proof Point observe généralement TA577 menant des attaques pour livrer des logiciels malveillants et n'a jamais observé cet acteur de menace démontrant la chaîne d'attaque utilisée pour voler des informations d'identification NTLM observées le 26 février.Récemment, TA577 a été observé pour fou |
| Envoyé | Oui |
| Condensat | 104 105 106 117 123 124 129 137/tgnd/zh9 146/5aohv/9mn 146/vbcsn/uox 149/naams/p3av 160/4bvt1yw/ic 160/zkf2r4j/vmd 161/epxq/a 161/mtdi/zqcw 167/xhsmd/boweu 188 19/bmkmsw/2 2023 2024 2024 2044665 2051116 2051432 2051433 208 208/wha5uxh/d 213 22/zjxb/bo 224/uuny19/bb1ng 233/yusx/dma 239 33/7ipw/7ohq 33/hvwsuw/udrh 34/3m3sxh6/ium 34/4qp/8y 36/dbna/h 36/vei/yezz 76/wsr6oh/y aaaaaaaaaaaaaaaa abusing access activity actor actors addition address adopts affiliates allowed along also any appeared appears archive are artifacts assess associated attachment attachments attack attacks attempt attribution auth authenticate authentication automatically based basta been before beginning being black block body botnet broker bypass campaign campaigns can capture chain chains challenge challenge/response characteristics clear clients compressed compromise compromise computer conducting confidence connection considered contact contained containing content could cracking create credentials customized cybercrime cybercriminal data default deliver delivered delivering delivery demonstrate demonstrating description detected detections determine direct directly disabling disruption distributes does domain each effective effectiveness email emails emerging enable ending engagement environment example experience exploitation exploited external facilitate favors february file file://103 file://104 file://146 file://155 file://176 file://66 file://85 file://89 files first follow framework from gathering generate globally guest guid happened has hash hashes have high hijacking host html htmls hundreds iab iabs identified impacket impacted include included including increase indications indicatorsof indicator infections info information initial instead iterate july know known lan landscape laterally leads least leveraging likelihood likely local mail major malicious malware manager matters message messages meta methods mitigate move multiple must names never new not notable ntlm ntlmssp ntlmv2 objective objective: observed observes one open opened organization organizations other outbound outlook owned packet pairs pass password patched payload pcap pikabot pointing potentially practices prevent previous procedures prominent proofpoint pulse purposes qbot quickly ransomware rapidly rate recently recipient recipients redirect refresh remote replies researchers resource resources revealing run same scheme seen seen sensitive sent server servers shares should signatures since smb smb2 source specific standard steal stealing stop such suggests supporting system ta577 tactics targeted targeting targets technique techniques tens test text theft theory these thousands thread threat threats time toolkit tools towards traffic triggered ttps two txt txt typically uncommon uncommonly unique unusual uri uris url urls use used usernames using variety victim vulnerabilities webdav what when which why will within work would zip zipped “file://” |
| Tags | Ransomware Malware Tool Vulnerability Threat |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.