TA577 olarak bilinen bir siber suçlu tehdit aktörünün, NT LAN Manager (NTLM) kimlik doğrulama bilgilerini çalmak için yeni bir saldırı stratejisi kullandığı belirlendi.
Bu karmaşık etkinlik, hassas bilgileri toplamak ve sonraki kötü niyetli eylemleri kolaylaştırmak için tasarlanmıştır.
Teknik Analiz
Proofpoint, TA577 tarafından 26 ve 27 Şubat 2024'te düzenlenen iki farklı kampanyayı ortaya çıkardı.
Bu kampanyalar dünya çapında çok sayıda kuruluşu hedef alan onbinlerce mesajı içeriyordu.
Saldırganlar, mesajların önceki e-postalara yanıt olarak gizlendiği ve her alıcı için özel olarak hazırlanmış sıkıştırılmış HTML ekleri içerdiği konu ele geçirme yöntemini kullandı.
Her biri benzersiz bir dosya karmasına sahip olan kötü amaçlı ekler, HTML dosyaları aracılığıyla harici bir Sunucu Mesaj Bloğu (SMB) sunucusuna sistem bağlantısı girişimlerini tetikledi.
TA577, SMB sunucusundan NTLMv2 Challenge/Response çiftlerini yakalayarak, hedeflenen kuruluşlardaki potansiyel şifre kırma veya “Pass-The-Hash” saldırıları için NTLM karmalarını çalmayı amaçladı.
SMB sunucularında açık kaynak araç seti Impacket'in kullanılması, saldırganların güvenlik açıklarından yararlanma ve güvenliği ihlal edilmiş ortamlarda yanal hareket etme niyetinde olduğunu gösterdi.
Proofpoint'in araştırması, kurbanları kötü amaçlı yazılım dağıtımı için harici dosya paylaşımlarına yönlendirmek amacıyla dosya şeması URI'lerini kullanan tehdit aktörlerinin artan eğilimini vurguladı.
Etkiler ve Azaltma
Güvenliği ihlal edilmiş bu SMB sunucularına bağlantılara izin verilmesi, NTLM karmalarının tehlikeye atılması ve kullanıcı adları ve alan adları gibi hassas bilgilerin açığa çıkması riskini doğurdu.
Saldırganların, Outlook posta istemcileri tarafından tespit edilmekten kaçınmak için kötü amaçlı HTML'yi zip arşivleri içinde teslim etmeleri dikkat çekicidir.
Konukların SMB'ye erişimini devre dışı bırakmak, proaktif güvenlik önlemlerinin gerekliliğini vurgulayarak saldırıyı engellemedi.
Daha önce Black Basta gibi fidye yazılımı enfeksiyonlarıyla ilişkilendirilen tanınmış bir siber suç tehdit aktörü olan TA577, yakın zamanda ilk yük olarak Pikabot'u kullanmaya yöneldi.
Taktiklerdeki bu değişim, siber tehditlerin gelişen doğasının ve ortaya çıkan saldırı vektörlerine karşı tetikte kalmanın öneminin altını çiziyor.
Ortaya Çıkan Tehditler ve Öneriler
Kuruluşlara, bu tür saldırılarla ilişkili riskleri azaltmak ve ortaya çıkan tehdit imzalarından haberdar olmak için giden KOBİ bağlantılarını engellemeleri tavsiye ediliyor.
TA577'nin yenilikçi taktikleri, karmaşık saldırılara karşı korunmak için sürekli uyanıklığı ve proaktif siber güvenlik önlemlerini gerektiren, gelişen siber tehdit ortamının altını çiziyor.
- 2044665 – ET INFO Giden SMB NTLM Harici Adrese Kimlik Doğrulama Denemesi
- 2051116 – Harici Adrese Giden ET INFO SMB2 NTLM Kimlik Doğrulama Denemesi
- 2051432 – ET BİLGİSİ [ANY.RUN] Impacket Çerçevesi Varsayılan SMB Sunucusu GUID'i Algılandı
- 2051433 – ET INFO Impacket Çerçevesi Varsayılan SMB NTLMSSP Mücadelesi
IOC'ler
| Gösterge | Tanım |
| dosya://89[.]117[.]1[.]161/mtdi/ZQCw[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://89[.]117[.]2[.]33/hvwsuw/udrh[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://146[.]19[.]213[.]36/vei/yEZZ[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://176[.]123[.]2[.]146/vbcsn/UOx[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://89[.]117[.]1[.]160/4bvt1yw/iC[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://89[.]117[.]2[.]34/4qp/8Y[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://104[.]129[.]20[.]167/xhsmd/bOWEU[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://146[.]19[.]213[.]36/dbna/H[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://89[.]117[.]2[.]33/7ipw/7ohq[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://89[.]117[.]2[.]34/3m3sxh6/IuM[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://103[.]124[.]104[.]22/zjxb/bO[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://89[.]117[.]1[.]161/epxq/A[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://176[.]123[.]2[.]146/5aohv/9dk[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://66[.]63[.]188[.]19/bmkmsw/2[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://89[.]117[.]1[.]160/zkf2r4j/VmD[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://103[.]124[.]104[.]76/wsr6oh/Y[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://103[.]124[.]105[.]208/wha5uxh/D[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://103[.]124[.]105[.]233/yusx/dMA[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://103[.]124[.]106[.]224/uuny19/bb1nG[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://85[.]239[.]33[.]149/naams/p3aV[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
| dosya://155[.]94[.]208[.]137/tgnd/zH9[.]txt | Dosya Şeması URL Yönlendirme Hedefleri |
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.