TA577 меняет тактику: фишинговые письма для кражи NTLM-хэшей

ИБ-компания Proofpoint обнаружила, что группировка TA577 изменила тактику своих атак. Теперь хакеры используют фишинговые электронные письма для кражи хэшей аутентификации NT LAN Manager (NTLM), что позволяет осуществлять захват учетных записей.

В частности, на протяжении двух волн атак 26 и 27 февраля 2024 года были группа разослала тысячи писем сотням организаций по всему миру с целью кражи NTLM хэшей сотрудников.

Хэши NTLM используются в Windows для аутентификации и обеспечения безопасности сеансов. Злоумышленники могут использовать украденные хэши для взлома паролей или для атак типа «Pass-the-Hash», позволяющих аутентифицироваться на удаленных серверах без необходимости расшифровки паролей.

Метод атаки включает в себя отправку фишинговых писем, которые кажутся ответами на предыдущие сообщения жертвы – метод, известный как thread hijacking. К электронным письмам прикрепляются уникальные (для каждой жертвы) ZIP-архивы, содержащие HTML-файлы, которые используют метатеги META refresh для запуска автоматического подключения к текстовому файлу на SMB-сервере. Такая техника позволяет киберпреступникам красть NTLM-хэши при попытке устройства Windows подключиться к серверу.

Proofpoint подчеркивает, что злоумышленники доставляли вредоносные архивы, чтобы обойти защиту почтовых клиентов, обновленных после июля 2023 года. Отмечается, что цель атак – именно захват NTLM-хэшей, а не доставка вредоносных программ.

Специалисты указывают, что для использования украденных хэшей в атаках на сети необходимо, чтобы в учетных записях была отключена многофакторная аутентификация (MFA). Также предполагается, что кража хэшей может служить формой разведки для определения ценных жертв.

Среди рекомендуемых мер защиты – настройка фильтрации электронной почты для блокировки сообщений, содержащих архивы с HTML-файлами, и конфигурация брандмауэра для блокировки исходящих SMB-соединений (обычно порты 445 и 139). Для пользователей Windows 11 Microsoft ввела дополнительную функцию безопасности, предотвращающую атаки на основе NTLM через SMB.