Η phishing καμπάνια TA577 στοχεύει οργανισμούς παγκοσμίως
Εταιρεία ασφάλειας επιχειρήσεων προειδοποίησε για μια νέα phishing καμπάνια που οργανώθηκε από τον απειλητικό παράγοντα TA577 και παρατηρήθηκε στις 26 και 27 Φεβρουαρίου 2024.
Η εν λόγω εκστρατεία επέκτεινε τον στόχο της σε εκατοντάδες οργανισμούς παγκοσμίως, χρησιμοποιώντας συνημμένα αρχεία ZIP σε email phishing για την κλοπή NT LAN Manager (NTLM) hashes. Τα phishing emails εφάρμοσαν την τεχνική του thread hijacking και εμφανίζονταν ως απαντήσεις σε προηγούμενα email.
Τα συνημμένα αρχεία ZIP περιείχαν αρχεία HTML που σχεδιάστηκαν για επικοινωνία με έναν ελεγχόμενο από τον διακομιστή Server Message Block (SMB). Ο στόχος του TA577 ήταν να αποκτήσει ζεύγη από απαντήσεις σε προκλήσεις NTLMv2 από αυτόν τον διακομιστή, επιτρέποντας τους να κλέψουν τους κατακερματισμένους NTLM hashes. Αυτά τα κλεμμένα hashes θα μπορούσαν στη συνέχεια να χρησιμοποιηθούν για επιθέσεις τύπου pass-the-hash (PtH), παρέχοντας μη εξουσιοδοτημένη πρόσβαση σε πολύτιμα δεδομένα μέσα σε ένα δίκτυο.
Το TA577, γνωστό για τη διακριτικότητά του και την προϋπηρεσία του στη διανομή κακόβουλου λογισμικού όπως τα QakBot και PikaBot, έχει επιδείξει ταχεία υιοθέτηση νέων τακτικών, τεχνικών και διαδικασιών (TTPs). Η Proofpoint αναδεικνύει την ευελιξία της ομάδας στην προσαρμογή στο δυναμικό κυβερνοασφαλιστικό περιβάλλον, διατηρώντας την συνεχή βελτίωση των τεχνολογιών και των μεθόδων παράδοσης προκειμένου να αποφευχθεί η ανίχνευση.
Υπογραμμίζεται η σημασία για τους οργανισμούς να λάβουν προληπτικά μέτρα, προτείνοντας τον αποκλεισμό της εξερχόμενης κυκλοφορίας SMB για την πρόληψη της εκμετάλλευσης. Αποκλείοντας τις εξερχόμενες συνδέσεις SMB, οι οργανισμοί μπορούν να μειώσουν τον κίνδυνο να γίνουν θύματα παρόμοιων επιθέσεων.
Συνοψίζοντας, η εκστρατεία phishing του TA577 που παρατηρήθηκε τον Φεβρουάριο του 2024 χρησιμοποίησε συνημμένα αρχεία ZIP για να κλέψει NTLM hashes, χρησιμοποιώντας τεχνικές thread hijacking για να ενισχύσει την αποτελεσματικότητά της. Τα κλεμμένα hashes χρησιμοποιήθηκαν για επιθέσεις pass-the-hash, επιτρέποντας τη μη εξουσιοδοτημένη πρόσβαση σε δεδομένα δικτύου. Συνιστάται στους οργανισμούς να αποκλείσουν την εξερχόμενη κυκλοφορία SMB για να μειώσουν τον κίνδυνο χάκινγκ, τονίζοντας την ευελιξία που διαθέτει το TA577 στην υιοθέτηση νέων TTPs.
