Attaccodi Dirottamento dei Thread Mirato “Thread Hijacking Attack” alle Reti IT: Ruba Hash NTLM
Un nuovo tipo di attacco informatico, noto come attacco di dirottamento dei thread, ha preso di mira reti IT con l’obiettivo di rubare gli hash NT LAN Manager (NTLM).
Il gruppo di minaccia conosciuto come TA577 è stato osservato utilizzare allegati di archivi ZIP in e-mail di phishing per attuare questo attacco.
Secondo quanto riportato da Proofpoint, una società di sicurezza informatica, questa nuova catena di attacco “può essere utilizzata per scopi di raccolta di informazioni sensibili e per abilitare attività di follow-up”.
Almeno due campagne che sfruttano questo approccio sono state osservate il 26 e 27 febbraio 2024, diffondendo migliaia di messaggi e mirando a centinaia di organizzazioni in tutto il mondo.
Le e-mail stesse appaiono come risposte a precedenti e-mail, una tecnica conosciuta come dirottamento dei thread, al fine di aumentare la probabilità di successo degli attacchi.
Gli allegati ZIP, che sono il meccanismo di consegna più comune, contengono un file HTML progettato per contattare un server Server Message Block (SMB) controllato dagli attori.
L’obiettivo di TA577 è catturare coppie di Challenge/Response NTLMv2 dal server SMB per rubare gli hash NTLM, che potrebbero quindi essere utilizzati per attacchi di tipo pass-the-hash (PtH).
Ciò significa che gli avversari in possesso di un hash di password non hanno bisogno della password sottostante per autenticare una sessione, consentendo loro di muoversi attraverso una rete e ottenere accesso non autorizzato a dati preziosi.
TA577, che si sovrappone a un cluster di attività monitorato da Trend Micro come Water Curupira, è uno dei gruppi di cybercrime più sofisticati.
È stato collegato alla distribuzione di famiglie di malware come QakBot e PikaBot in passato.
La velocità con cui TA577 adotta e distribuisce nuove tattiche, tecniche e procedure (TTP) suggerisce che il gruppo di minaccia probabilmente abbia il tempo, le risorse e l’esperienza per iterare rapidamente e testare nuovi metodi di consegna, ha affermato Proofpoint.
L’organizzazione ha anche descritto il gruppo di minaccia come estremamente consapevole dei cambiamenti nel panorama delle minacce informatiche, adattando e perfezionando rapidamente la propria arte e i metodi di consegna per evitare la rilevazione e rilasciare una varietà di carichi utili.
Si consiglia vivamente alle organizzazioni di bloccare l’SMB in uscita per prevenire l’exploitazione.