![email.jpg](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_nenSi9LuwDRIIJN6aqJT_DVuWYXh3Kr6nZIbvkDFaT0OOgTYY-mSrKaJz5CbzEFWUKviHpBd5XBv-t0XeSwZvCEOscyyHlfHtfUhKJZemSNj2Yef7w9Apw4zFGzvchjhMSptokaBNgt3gWQv38aiTWbxt3vuSP_PH4ZQLOwf9wqbDEO2zDWoOq302PdK/s728-rw-e365/email.jpg)
Было замечено, что исполнитель угрозы, известный как TA577, использует вложения ZIP-архива в фишинговых электронных письмах с целью кражи хэшей NT LAN Manager (NTLM).
Новая цепочка атак "может использоваться для сбора конфиденциальной информации и для обеспечения последующей деятельности", - говорится в отчете компании Proofpoint, занимающейся корпоративной безопасностью, опубликованном в понедельник.
26 и 27 февраля 2024 года были замечены по меньшей мере две кампании, использующие этот подход, добавили в компании. Волны фишинга распространили тысячи сообщений и были нацелены на сотни организаций по всему миру.
Сами сообщения появлялись как ответы на предыдущие электронные письма, известный метод, называемый перехватом потоков, в попытке повысить вероятность успеха атак.
ZIP-вложения поставляются с HTML-файлом, предназначенным для связи с сервером SMB, управляемым сервером с блокировкой сообщений (actor-controlled Server Message Block).
"Целью TA577 является захват пар NTLMv2 " Запрос / ответ" с SMB-сервера для кражи хэшей NTLM на основе характеристик цепочки атак и используемых инструментов", - заявили в компании, которые затем могут быть использованы для атак типа передачи хэша (PtH).
![Атака с перехватом потоков Атака с перехватом потоков](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjSSQiuAjBCcuP5odh5XUNYhpHzv43SpthT6duxadLku3Fr_GZwwhS_fsONBUW1ZcWST4wNg-gZoQIM777J3TsGKzz922TWI-QQ7-gxBdw4ywiQwqOHEAsYKl08p236LaPE2zkNF66wvxaiYMX6vxjyAvKpBhFMG2qkRXzNLeq5mAcdhVbHmoQ8dmFTym_G/s728-rw-e365/wire.jpg)
Это означает, что злоумышленникам, владеющим хэшем пароля, не нужен базовый пароль для аутентификации сеанса, что в конечном итоге позволяет им перемещаться по сети и получать несанкционированный доступ к ценным данным.
TA577, которая пересекается с кластером активности, отслеживаемым Trend Micro как Water Curupira, является одной из самых изощренных групп киберпреступников. В прошлом это было связано с распространением семейств вредоносных программ, таких как QakBot и PikaBot.
"Скорость, с которой TA577 применяет и распространяет новые тактики, приемы и процедуры (TTPS), предполагает, что у субъекта угрозы, вероятно, есть время, ресурсы и опыт для быстрого повторения и тестирования новых методов доставки", - сказал Proofpoint.
В нем также описывалось, что субъект угрозы остро осознает изменения в ландшафте киберугроз, быстро адаптирует и совершенствует свои технологии и методы доставки, чтобы обойти обнаружение и сбросить различные полезные нагрузки. Организациям настоятельно рекомендуется блокировать исходящий SMB-сервер для предотвращения эксплуатации.