L’acteur menaçant connu sous le nom de TA577 a été observé en utilisant des pièces jointes d’archives ZIP dans des e-mails de phishing dans le but de voler les hachages NT LAN Manager (NTLM).
La nouvelle chaîne d’attaque « peut être utilisée à des fins de collecte d’informations sensibles et pour permettre des activités de suivi », a déclaré la société de sécurité d’entreprise Proofpoint. dit dans un rapport de lundi.
Au moins deux campagnes profitant de cette approche ont été observées les 26 et 27 février 2024, ajoute la société. Les vagues de phishing ont diffusé des milliers de messages et ciblé des centaines d’organisations à travers le monde.
Les messages eux-mêmes apparaissaient comme des réponses à des e-mails précédents, une technique connue appelée détournement de fil de discussion, dans le but d’augmenter les chances de succès des attaques.
Les pièces jointes ZIP – qui sont les mécanisme de livraison le plus courant – sont livrés avec un fichier HTML conçu pour contacter un serveur SMB (Server Message Block) contrôlé par un acteur.
« L’objectif du TA577 est de capturer les paires Challenge/Réponse NTLMv2 du serveur SMB pour voler les hachages NTLM en fonction des caractéristiques de la chaîne d’attaque et des outils utilisés », a déclaré la société, qui pourrait ensuite être utilisée pour transmettre le hachage (PtH) tapez des attaques.
Cela signifie que les adversaires en possession d’un hachage de mot de passe n’ont pas besoin du mot de passe sous-jacent pour authentifier une session, ce qui leur permet finalement de se déplacer sur un réseau et d’obtenir un accès non autorisé à des données précieuses.
TA577, qui chevauche un groupe d’activités suivi par Trend Micro sous le nom de Water Curupira, est l’un des groupes de cybercriminalité les plus sophistiqués. Il a été lié à la distribution de familles de logiciels malveillants comme QakBot et PikaBot dans le passé.
« La vitesse à laquelle TA577 adopte et distribue de nouvelles tactiques, techniques et procédures (TTP) suggère que l’acteur malveillant a probablement le temps, les ressources et l’expérience nécessaires pour itérer et tester rapidement de nouvelles méthodes de livraison », a déclaré Proofpoint.
Il décrit également l’auteur de la menace comme étant parfaitement conscient des changements dans le paysage des cybermenaces, adaptant et affinant rapidement son savoir-faire et ses méthodes de livraison pour contourner la détection et abandonner diverses charges utiles. Il est fortement recommandé aux organisations de bloquer les SMB sortants pour empêcher toute exploitation.