Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page TA577 меняет тактику: фишинговые письма для кражи NTLM-хэшей

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 01-19-2025, 11:49 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Миру предстоит узнать, к чему приведет новая техника атаки.

ИБ-компания Proofpoint обнаружила, что группировка TA577 изменила тактику своих атак. Теперь хакеры используют фишинговые электронные письма для кражи хэшей аутентификации NT LAN Manager (NTLM), что позволяет осуществлять захват учетных записей.
В частности, на протяжении двух волн атак 26 и 27 февраля 2024 года были группа разослала тысячи писем сотням организаций по всему миру с целью кражи NTLM хэшей сотрудников.
Хэши NTLM используются в Windows для аутентификации и обеспечения безопасности сеансов. Злоумышленники могут использовать украденные хэши для взлома паролей или для атак типа «Pass-the-Hash», позволяющих аутентифицироваться на удаленных серверах без необходимости расшифровки паролей.
Метод атаки включает в себя отправку фишинговых писем, которые кажутся ответами на предыдущие сообщения жертвы – метод, известный как thread hijacking. К электронным письмам прикрепляются уникальные (для каждой жертвы) ZIP-архивы, содержащие HTML-файлы, которые используют метатеги META refresh для запуска автоматического подключения к текстовому файлу на SMB-сервере. Такая техника позволяет киберпреступникам красть NTLM-хэши при попытке устройства Windows подключиться к серверу.
Proofpoint подчеркивает, что злоумышленники доставляли вредоносные архивы, чтобы обойти защиту почтовых клиентов, обновленных после июля 2023 года. Отмечается, что цель атак – именно захват NTLM-хэшей, а не доставка вредоносных программ.
Специалисты указывают, что для использования украденных хэшей в атаках на сети необходимо, чтобы в учетных записях была отключена многофакторная аутентификация (MFA). Также предполагается, что кража хэшей может служить формой разведки для определения ценных жертв.
Среди рекомендуемых мер защиты – настройка фильтрации электронной почты для блокировки сообщений, содержащих архивы с HTML-файлами, и конфигурация брандмауэра для блокировки исходящих SMB-соединений (обычно порты 445 и 139). Для пользователей Windows 11 Microsoft ввела дополнительную функцию безопасности, предотвращающую атаки на основе NTLM через SMB.
Code:
https://www.proofpoint.com/us/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 09:14 PM.

Contact Us - Carder.life - Archive - Top