Die Hackergruppe TA577 hat ihre Taktik geändert und verwendet nun Phishing-E-Mails, um NT LAN Manager (NTLM)-Authentifizierungshashes zu stehlen und Kontozugriffe zu übernehmen. TA577 wird als ein Broker für den Erstzugriff (IAB) angesehen und war zuvor mit Qbot und Infektionen durch die Black Basta Ransomware in Verbindung gebracht worden.
Die E-Mail-Sicherheitsfirma Proofpoint berichtet, dass TA577 kürzlich eine Vorliebe für die Bereitstellung von Pikabot gezeigt hat, zwei jüngste Angriffswellen am 26. und 27. Februar 2024 jedoch eine andere Taktik aufweisen. Tausende von Nachrichten wurden an Hunderte von Organisationen weltweit versendet, um die NTLM-Hashes der Mitarbeiter zu stehlen.
Diese Hashes werden in Windows für Authentifizierung und Sitzungssicherheit verwendet und können für Offline-Passwortknacken erfasst werden, um das Klartextpasswort zu erhalten. Zudem können sie in „Pass-the-Hash“-Angriffen verwendet werden, bei denen das Passwortknacken nicht erforderlich ist. Die Angreifer nutzen den Hash, wie er ist, um sich an einem entfernten Server oder Dienst zu authentifizieren.
Die gestohlenen Hashes können es Angreifern unter bestimmten Umständen und abhängig von den vorhandenen Sicherheitsmaßnahmen ermöglichen, ihre Privilegien zu eskalieren, Konten zu übernehmen, auf sensible Informationen zuzugreifen, Sicherheitsprodukte zu umgehen und sich seitlich in einem kompromittierten Netzwerk zu bewegen.
Die neue Kampagne begann mit Phishing-E-Mails, die als Antworten auf vorherige Diskussionen des Ziels erscheinen, eine Technik, die als Thread-Hijacking bekannt ist. Die E-Mails enthalten einzigartige (pro Opfer) ZIP-Archive, die HTML-Dateien enthalten. Diese Dateien verwenden META-Refresh-HTML-Tags, um eine automatische Verbindung zu einer Textdatei auf einem externen Server Message Block (SMB)-Server auszulösen.
Wenn das Windows-Gerät eine Verbindung zum Server herstellt, wird automatisch versucht, eine NTLMv2 Challenge/Response durchzuführen, wodurch der entfernte Angreifer-kontrollierte Server die NTLM-Authentifizierungshashes stehlen kann.
Proofpoint merkt an, dass diese URLs keine Malware-Lasten lieferten, so dass ihr primäres Ziel anscheinend darin besteht, NTLM-Hashes zu erfassen.
Eine möglicherweise wirksame Maßnahme könnte die Konfiguration einer Firewall sein, um alle ausgehenden SMB-Verbindungen (typischerweise Ports 445 und 139) zu blockieren, was das Senden von NTLM-Hashes stoppen würde. Eine weitere Schutzmaßnahme wäre die Implementierung eines E-Mail-Filters, der Nachrichten blockiert, die zipped HTML-Dateien enthalten, da diese beim Start Verbindungen zu unsicheren Endpunkten auslösen können.
Für Organisationen, die Windows 11 verwenden, hat Microsoft eine zusätzliche Sicherheitsfunktion eingeführt, um NTLM-basierte Angriffe über SMBs zu blockieren, was eine wirksame Lösung darstellen würde.