E-Mail-Angriff zielt auf IT-Netzwerke und stiehlt NTLM-Hashes
Der als TA577 bekannte Bedrohungsakteur nutzt ZIP-Archivanhänge in Phishing-E-Mails, um Microsoft NT-LAN-Manager-(NTLM)-Hashes zu stehlen. Diese neue Angriffsmethode ermöglicht das Sammeln sensibler Informationen und kann für weitere Aktivitäten genutzt werden.
Proofpoint berichtet, dass mindestens zwei Kampagnen am 26. und 27. Februar 2024 beobachtet wurden, die auf Tausende von Nachrichten abzielten und Hunderte von Organisationen weltweit erreichten. Die E-Mails wurden als Antworten auf vorherige Nachrichten verschickt, eine Taktik namens Thread-Hijacking, um die Erfolgschancen zu erhöhen. In den meisten Fällen enthalten die ZIP-Anhänge eine HTML-Datei, die verwendet wird, um einen von den Angreifern kontrollierten Server Message Block (SMB)-Server zu erreichen.
Das Ziel von TA577 ist es, NTLMv2 Challenge/Response-Paare vom SMB-Server abzufangen, um NTLM-Hashes zu stehlen. Diese gestohlenen Hashes können dann für Pass-the-Hash (PtH)-Angriffe verwendet werden. Das bedeutet, dass Angreifer, die im Besitz eines Passwort-Hashes sind, das zugrundeliegende Passwort nicht benötigen, um sich im Netzwerk zu authentifizieren. Dadurch können sie sich unbefugten Zugang zu wertvollen Daten verschaffen.
Die Cybercrime-Gruppe TA577 ist nach aktuellen Erkenntnissen zumindest in Teilen mit einem Aktivitäts-Cluster identisch, das von Trend Micro unter dem Namen Water Curupira geführt wird. Sie gilt als eine der raffiniertesten Cybercrime-Gruppen, die derzeit in der Szene agieren. Frühere Aktivitäten der Gruppe umfassen die Verbreitung von Malware-Familien wie QakBot und PikaBot.
„Die Geschwindigkeit, mit der TA577 neue Taktiken, Techniken und Verfahren (TTPs) annimmt und verbreitet, lässt vermuten, dass der Bedrohungsakteur sowohl über die zeitlichen und materiellen Ressourcen, als auch über die Erfahrung verfügt, um neue Verbreitungsmethoden schnell zu entwickeln und zu testen“, so Proofpoint.
Der Bedrohungsakteur sei sich der Veränderungen in der Cyber-Bedrohungslandschaft bewusst und passe sich schnell an und verfeinere seine Methoden, um die Erkennung zu umgehen und eine Vielzahl von Nutzdaten zu versenden. Unternehmen wird dringend empfohlen, ausgehendes SMB zu blockieren, um eine Ausnutzung zu verhindern.