Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   TA577 меняет тактику: фишинговые письма для кражи NTLM-хэшей (http://txgate.io:443/showthread.php?t=8587)

Artifact 01-19-2025 11:49 PM

Миру предстоит узнать, к чему приведет новая техника атаки.
https://www.securitylab.ru/upload/ib...t2smdrja6i.jpg
ИБ-компания Proofpoint обнаружила, что группировка TA577 изменила тактику своих атак. Теперь хакеры используют фишинговые электронные письма для кражи хэшей аутентификации NT LAN Manager (NTLM), что позволяет осуществлять захват учетных записей.
В частности, на протяжении двух волн атак 26 и 27 февраля 2024 года были группа разослала тысячи писем сотням организаций по всему миру с целью кражи NTLM хэшей сотрудников.
Хэши NTLM используются в Windows для аутентификации и обеспечения безопасности сеансов. Злоумышленники могут использовать украденные хэши для взлома паролей или для атак типа «Pass-the-Hash», позволяющих аутентифицироваться на удаленных серверах без необходимости расшифровки паролей.
Метод атаки включает в себя отправку фишинговых писем, которые кажутся ответами на предыдущие сообщения жертвы – метод, известный как thread hijacking. К электронным письмам прикрепляются уникальные (для каждой жертвы) ZIP-архивы, содержащие HTML-файлы, которые используют метатеги META refresh для запуска автоматического подключения к текстовому файлу на SMB-сервере. Такая техника позволяет киберпреступникам красть NTLM-хэши при попытке устройства Windows подключиться к серверу.
Proofpoint подчеркивает, что злоумышленники доставляли вредоносные архивы, чтобы обойти защиту почтовых клиентов, обновленных после июля 2023 года. Отмечается, что цель атак – именно захват NTLM-хэшей, а не доставка вредоносных программ.
Специалисты указывают, что для использования украденных хэшей в атаках на сети необходимо, чтобы в учетных записях была отключена многофакторная аутентификация (MFA). Также предполагается, что кража хэшей может служить формой разведки для определения ценных жертв.
Среди рекомендуемых мер защиты – настройка фильтрации электронной почты для блокировки сообщений, содержащих архивы с HTML-файлами, и конфигурация брандмауэра для блокировки исходящих SMB-соединений (обычно порты 445 и 139). Для пользователей Windows 11 Microsoft ввела дополнительную функцию безопасности, предотвращающую атаки на основе NTLM через SMB.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.proofpoint.com/us/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft</pre>


All times are GMT. The time now is 12:44 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.