Hacker TA577 Đánh Cắp Hash Xác Thực NTLM Trong Các Cuộc Tấn Công Phishing.
- Nhóm hacker TA577 đã sử dụng email phishing để đánh cắp bản hash xác thực NTLM của Windows, mục tiêu là chiếm quyền điều khiển tài khoản.
- TA577 được biết đến là một nhà cung cấp quyền truy cập ban đầu (IAB), trước đây liên kết với Qbot và ransomware Black Basta.
- Công ty an ninh mạng Proofpoint báo cáo rằng TA577 gần đây ưa chuộng triển khai Pikabot, nhưng hai đợt tấn công vào ngày 26 và 27 tháng 2 năm 2024 đã sử dụng chiến thuật khác.
- Các chiến dịch của TA577 đã phát tán hàng nghìn tin nhắn đến hàng trăm tổ chức trên toàn thế giới, nhắm vào bản hash NTLM của nhân viên.
- Bản hash NTLM được sử dụng trong Windows cho xác thực và bảo mật phiên làm việc, có thể bị bắt để phá mật khẩu ngoại tuyến hoặc sử dụng trong các cuộc tấn công "pass-the-hash" mà không cần phá mật khẩu.
- Bản hash bị đánh cắp có thể, tùy thuộc vào các biện pháp bảo mật, cho phép kẻ tấn công nâng cao đặc quyền, chiếm quyền điều khiển tài khoản, truy cập thông tin nhạy cảm, né tránh sản phẩm bảo mật và di chuyển ngang qua mạng bị xâm nhập.
- Khi thiết bị Windows kết nối với máy chủ, nó sẽ tự động thực hiện NTLMv2 Challenge/Response, cho phép máy chủ do kẻ tấn công kiểm soát đánh cắp bản hash xác thực NTLM.
- Proofpoint chỉ ra rằng TA577 đã gửi HTML độc hại trong một tệp zip để tạo tệp cục bộ trên máy chủ, nếu URI dạng tệp được gửi trực tiếp trong nội dung email thì cuộc tấn công sẽ không thành công trên các máy khách mail Outlook đã được vá từ tháng 7 năm 2023.
📌 Nhóm hacker TA577 đã thực hiện các cuộc tấn công phishing nhằm mục đích đánh cắp bản hash xác thực NTLM của Windows, qua đó có khả năng chiếm quyền điều khiển tài khoản và thực hiện các hành vi xâm nhập mạng. Các cuộc tấn công này đã ảnh hưởng đến hàng trăm tổ chức trên toàn cầu vào cuối tháng 2 năm 2024. Kỹ thuật sử dụng bởi TA577 cho thấy sự chuyển mình trong phương pháp tấn công, từ việc triển khai Pikabot sang việc lợi dụng các lỗ hổng bảo mật trong quy trình xác thực NTLM của Windows. Điều này cảnh báo về tầm quan trọng của việc cập nhật bảo mật và áp dụng các biện pháp phòng ngừa chống lại các chiến thuật tấn công ngày càng tinh vi của các nhóm hacker.
Citations:
[1] https://www.bleepingcomputer.com/news/security/hackers-steal-windows-ntlm-authentication-hashes-in-phishing-attacks/
Thảo luận
Follow Us
Tin phổ biến
