TA577 Artık NT LAN Manager Kimlik Doğrulama Hırsızlığına Odaklanıyor


Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi

Proofpoint, Black Basta'ya Bağlı Grup İçin Siber Taktiklerdeki Son Değişiklikleri Tespit Ediyor

Prajeet Nair (@prajeetspeaks) •
5 Mart 2024

TA577 Artık NT LAN Manager Kimlik Doğrulama Hırsızlığına Odaklanıyor
Resim: Shutterstock

Bir siber tehdit aktörü, taktiklerini geleneksel kötü amaçlı yazılım dağıtımından, potansiyel olarak hassas verileri toplamak ve diğer kötü amaçlı eylemleri gerçekleştirmek için NT LAN Manager kimlik doğrulama bilgilerinin edinilmesine yönelik hedefe yönelik bir odaklanmaya doğru değiştiriyor.

Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele

Kanıt noktası araştırmacıları TA577 grubunun 26-27 Şubat tarihleri ​​arasında iki gün boyunca en az iki kampanya düzenlediğini ortaya çıkardı. Grup, ileti dizisi ele geçirme, mesajları önceki e-postalara yanıt olarak gizleme ve her alıcıya özel sıkıştırılmış HTML dosyaları ekleme yöntemini kullandı.

Kampanyalar dünya çapında yüzlerce kuruluşu hedef alan on binlerce mesajı içeriyordu.

Ekler, harici bir Sunucu Mesaj Bloğu sunucusuna sistem bağlantısı girişimini tetikler. TA577, olası şifre kırma veya belirli kuruluşlar içindeki “karma aktarımı” saldırıları için NTLM karmalarını elde etmek amacıyla SMB sunucusundan NTLMv2 Sorgulama/Yanıt çiftlerini elde etmeye çalıştı.

Açık kaynak araç seti Impacket'in SMB sunucularında kullanılması, TA577'nin kalıcılığını korumasına ve tespitten kaçmasına olanak tanır. Bu SMB sunucularına bağlanmaya çalışmak, NTLM karmalarını tehlikeye atabilir ve bilgisayar adları, etki alanı adları ve kullanıcı adları gibi ek hassas ayrıntıları düz metin olarak açığa çıkarabilir.

Proofpoint, saldırıyı azaltmak için giden SMB bağlantılarının engellenmesini ve Outlook posta istemcilerine yama uygulanmasını önerir.

Daha önce Black Basta gibi fidye yazılımı türleriyle bağlantılı olan önde gelen siber suç tehdit aktörü TA577, yakın zamanda ilk yükü olarak Pikabot'u kullanmaya başladı.

Geçtiğimiz hafta NTLM hırsızlığında yaşanan benzeri görülmemiş hareket, tehdit aktörünün yeni dağıtım yöntemlerini hızla yineleyip test edecek zamana, kaynaklara ve deneyime sahip olduğunu gösteriyor. Araştırmacılar, bu uyarlanabilirliğin, TA577'nin tespit mekanizmalarının önünde kalmasını ve yük dağıtımının etkinliğini arttırmasını sağladığını söyledi.

Proofpoint araştırmacıları ayrıca dosya URI şemalarını kötüye kullanan ve alıcıları kötü amaçlı yazılım dağıtımı için harici dosya paylaşımlarına yönlendiren tehdit aktörlerinin sayısında da bir artış olduğunu belirtti.





Source link