Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

proofpoint-385-250

Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024. De campagnes omvatten tienduizenden berichten van organisaties wereldwijd. De berichten verschenen als antwoorden op eerdere e-mails – ook wel bekend als 'thread hijacking' en bevatten gezipte HTML-bestanden.  

Het .zip-bestand heeft een unieke bestandshash en de HTML-bestanden zijn specifiek afgestemd op de ontvanger. Het HTML-bestand activeert, na het openen, een verbindingspoging met de Server Message Block (SMB)-server die via metaverversing leidt naar een URL dat eindigt op .txt. Dit houdt in dat het bestand automatisch contact maakt met een externe SMB-bron van de dreigingsactor. Proofpoint observeerde geen malwarelevering via deze URL's, maar schatte in dat TA577 doelt op het vastleggen van NTLM v2 challenge/response pairs van de SMB-server voor het stelen van NTLM-hashes op basis van de kenmerken van de aanvalsketen en de gebruikte tools.  

Deze hashes worden gebruikt bij het kraken van wachtwoorden of bij 'Pass-the-Hash'-aanvallen door het gebruiken van andere kwetsbaarheden in de organisatie voor het uitvoeren van laterale bewegingen. Aanwijzingen die deze theorie ondersteunen zijn onder andere artefacten op de SMB-servers die wijzen op het gebruik van de open-source toolkit Impacket. Het gebruik van Impacket op de SMB-server wordt geïdentificeerd door de standaard NTLM-serveruitdaging 'aaaaaaaaaaaaaaaa' en de standaard GUID. Dit soort praktijken zijn ongebruikelijk in standaard SMB-servers.

Iedere verbindingspoging met SMB-servers kunnen NTLM-hashes compromitteren en andere gevoelige informatie zoals computernamen, domeinnamen en gebruikersnamen onthullen. Het is opmerkelijk dat TA577 de kwaadaardige HTML afleverde in een zip-archief om een lokaal bestand op de host te genereren. Als de URL van het bestandsschema rechtstreeks in de e-mail werd verzonden, zou de aanval niet werken op Outlook-mailclients die sinds juli 2023 zijn gepatcht. Het uitschakelen van gasttoegang tot SMB vermindert de aanval niet, omdat het bestand moet proberen zich te verifiëren bij de externe SMB-server om te bepalen of het de gasttoegang moet gebruiken.  

Toekenning 

TA577 is een prominente dreigingsactor en een van de belangrijkste Qbot-filialen in de storing van het botnet. Het wordt beschouwd als een initiële toegangsbroker (Initial Access Broker, IAB). Proofpoint brengt de TA577-campagnes in verband met follow-on ransomware-infecties, waaronder Black Basta.  De dreigingsactor geeft sinds kort voorkeur aan Pikabot als initiële payload. 

Belang 

Proofpoint observeert TA577 meestal bij het afleveren van malware. Het bedrijf nam nog nooit eerder waar dat deze dreigingsactor de aanvalsketen gebruikte voor het stelen van NTML-referenties. Dit gebeurde voor het eerst op 26 februari 2024. TA577 leverde hierbij, met behulp van verschillende aanvalsketens, Pikabot af. 

De snelheid waarmee TA577 nieuwe tactieken, technieken en procedures (TTP's) toepast en verspreidt, suggereert dat de dreigingsactor de tijd, middelen en ervaring heeft om nieuwe aflevermethoden te herhalen en testen.  In aanvulling op andere IAB’s lijkt TA577 te weten wanneer en waarom specifieke aanvalsketens niet langer effectief zijn. Het probeert snel nieuwe methoden uit voor het omzeilen van detecties en het verhogen van de betrokkenheid van de slachtoffers bij de payloadlevering.  

Onderzoekers van Proofpoint zien ook een toename van dreigingsactoren die URL's met bestandsschema's misbruiken om ontvangers naar externe bestandsshares, zoals SMB en WebDAV, te leiden om zo toegang te krijgen tot externe inhoud voor malwarelevering. Organisaties moeten uitgaande SMB blokkeren om dit soort misbruik te voorkomen.  

Klik hier voor meer informatie.  

 

Lees ook
WatchGuard: Remote Access Software steeds vaker misbruikt

WatchGuard: Remote Access Software steeds vaker misbruikt

Hackers hebben hun pijlen steeds vaker gericht op Remote Access Software. Daarnaast zijn er nieuwe technieken in omloop voor het stelen van wachtwoorden en informatie. Ook maken cybercriminelen de overstap van het gebruik van scripts naar het toepassen van andere ‘living-off-the-land’-technieken om een aanval op eindpoints te starten. Dat conclude1

De speciale exploitatiecyclus van TA422: week na week hetzelfde

De speciale exploitatiecyclus van TA422: week na week hetzelfde

Proofpoint onderzoekers zagen vanaf eind maart 2023 dat de Russische Advanced Persistent Threat (APT) TA422 gemakkelijk gepatchte kwetsbaarheden gebruikte om verschillende organisaties in Europe en Noord-Amerika aan te vallen. TA422 overlapt met de aliassen APT28, Forest Blizzard, Pawn Storm, Fancy Bear en Blue Delta. De Amerikaanse inlichtingsdie1

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.