تهديد إلكتروني متطور، dent باسم TA577، موجة جديدة من هجمات البريد الإلكتروني التي تستهدف اختراق أنظمة وشبكات العديد من المؤسسات حول العالم. تُشكل هذه العملية السرية، المصممة بدقة لسرقة تجزئات NTLM - وهي كلمات مرور مشفرة ضرورية للتحقق من هوية المستخدم في بيئات ويندوز - خطرًا أمنيًا جسيمًا. وقد كشفت تقارير حديثة من الأمن السيبراني عن تفاصيل هذا التهديد، وحثت المؤسسات على تعزيز دفاعاتها على الفور.
كشف النقاب عن هجوم عبر البريد الإلكتروني
تعتمد آلية عمل برنامج TA577 الخبيث على نشر مرفقات بريد إلكتروني مُلغّمة، مُخفية ببراعة على أنها ردود على مراسلات سابقة. عند فتح الضحايا غير المُدركين لهذه المرفقات، تتوالى سلسلة من الأحداث، تؤدي إلى محاولة الاتصال بخادم SMB خارجي. على الرغم من خلوها من البرامج الخبيثة التقليدية، إلا أن هذه الحيلة تستدرج بذكاء أزواج التحدي/الاستجابة لبروتوكول NTLMv2، مما يُتيحtracتجزئات NTLM بكفاءة مُقلقة.
تتجاوز تداعيات سرقة تجزئة NTLM مجرد اختراق كلمات المرور الفردية. يؤكد باحثو Proofpoint على إمكانية استغلالها لكسر كلمات المرور أو تسهيل هجمات "تمرير التجزئة" الخبيثة، مما يتيح التنقل داخل البيئات المخترقة. علاوة على ذلك، توفر المعلومات المسروقة، بما في ذلك أسماء أجهزة الكمبيوتر وتفاصيل النطاقات وأسماء المستخدمين، للمهاجمين فهمًا شاملًا للمؤسسات المستهدفة، مما يوجه مساعيهم الخبيثة اللاحقة.
نداء عاجل للتحرك
نظراً لقدرة ثغرة TA577 على التكيف السريع ونشر أساليب جديدة، يُنصح المؤسسات بتعزيز أمنها السيبراني فوراً. وتؤكد مختبرات فارونيس للتهديدات على ضرورة اتخاذ تدابير استباقية، داعيةً إلى منع اتصالات SMB الصادرة لإحباط أي اختراقات محتملة. ورغم عدم جدوى تعطيل وصول الضيوف إلى SMB، تظل استراتيجيات التخفيف الاستباقية ضرورية للحماية من التهديدات السيبرانية المتطورة.
تُبرز أساليب الاختراق التي يستخدمها TA577 التطور المستمر للتهديدات السيبرانية وأهمية آليات الدفاع الاستباقية. فبينما تسعى المؤسسات جاهدةً لتأمين بنيتها التحتية الرقمية، تبرز اليقظة والتحرك الاستباقي كأدوات لا غنى عنها في المعركة الدائرة ضد الخصوم السيبرانيين. ومن خلال الاستجابة لتحذيرات الأمن السيبراني وتطبيق بروتوكولات أمنية قوية، تستطيع المؤسسات الحد من المخاطر التي يشكلها سرقة تجزئة NTLM وحماية أصولها الرقمية القيّمة من الاستغلال الخبيث.
