Продвинутая атака по электронной почте нацелена на организации по всему миру и угрожает кражей NTLM-хешей

Сложный киберугрозный сигнал,dentобозначение TA577, вызвал новую волну атак по электронной почте, направленных на проникновение в компьютерные системы и сети многочисленных организаций по всему миру. Эта скрытая операция, тщательно разработанная для кражи хэшей NTLM — закодированных паролей, имеющих решающее значение для аутентификации пользователей в средах Windows, — представляет собой серьезную угрозу безопасности. Недавние разоблачения по кибербезопасности проливают свет на тонкости этой угрозы, призывая организации незамедлительно укрепить свою защиту.

Раскрыта возможность атаки с использованием электронной почты

Метод работы TA577 заключается в развертывании замаскированных под ответы на предыдущие письма вложенных файлов. После того, как ничего не подозревающие жертвы открывают эти вложения, разворачивается каскад событий, приводящий к попытке подключения к внешнему серверу SMB (Server Message Block). Хотя этот метод не содержит обычных вредоносных программ, он искусно запрашивает пары «запрос/ответ» NTLMv2, что позволяетtracхеши NTLM с поразительной эффективностью.

Последствия кражи хешей NTLM выходят далеко за рамки компрометации отдельных паролей. Исследователи Proofpoint подчеркивают потенциальную возможность использования этой уязвимости для взлома паролей или содействия коварным атакам типа «Pass-The-Hash», позволяющим осуществлять горизонтальное перемещение внутри скомпрометированных сред. Более того, украденная информация, включая имена компьютеров, данные доменов и имена пользователей, предоставляет злоумышленникам полное представление о целевых организациях, направляя их последующие вредоносные действия.

Срочный призыв к действию

Учитывая склонность TA577 к быстрой адаптации и внедрению новых тактик, организациям настоятельно рекомендуется незамедлительно укрепить свою кибербезопасность. Varonis Threat Labs подчеркивает необходимость превентивных мер, выступая за блокирование исходящих соединений SMB для предотвращения потенциальных нарушений. Несмотря на бесполезность отключения гостевого доступа к SMB, проактивные стратегии смягчения последствий остаются незаменимыми для защиты от постоянно развивающихся киберугроз.

Тактика проникновения, используемая TA577, подчеркивает постоянную эволюцию киберугроз и критическую важность механизмов проактивной защиты. В условиях, когда организации пытаются обеспечить безопасность своей цифровой инфраструктуры, бдительность и превентивные действия становятся незаменимым оружием в продолжающейся борьбе с киберпреступниками. Прислушиваясь к предупреждениям кибербезопасности и внедряя надежные протоколы безопасности, организации могут снизить риски, связанные с кражей хешей NTLM, и защитить свои бесценные цифровые активы от злонамеренного использования.