Une nouvelle campagne de cyberattaque exploite le script PowerShell associé à un outil légitime de Red Teaming pour piller Hachages NTLMv2 à partir de systèmes Windows compromis situés principalement en Australie, en Pologne et en Belgique.
L’activité a été baptisée Steal-It par Zscaler ThreatLabz.
« Dans cette campagne, les acteurs malveillants volent et exfiltrent les hachages NTLMv2 à l’aide de versions personnalisées du logiciel Nishang. Script PowerShell Démarrer-CaptureServeren exécutant diverses commandes système et en exfiltrant les données récupérées via les API Mockbin », ont déclaré les chercheurs en sécurité Niraj Shivtarkar et Avinash Kumar.
Nishang est un framework et une collection de scripts et de charges utiles PowerShell pour la sécurité offensive, les tests d’intrusion et l’équipe rouge.
Les attaques exploitent jusqu’à cinq chaînes d’infection différentes, bien qu’elles utilisent toutes des e-mails de phishing contenant des archives ZIP comme point de départ pour infiltrer des cibles spécifiques à l’aide de techniques de géorepérage :
- Chaîne d’infection par vol de hachage NTLMv2qui utilise une version personnalisée du script PowerShell Start-CaptureServer susmentionné pour récolter les hachages NTLMv2
- Chaîne d’infection de vol d’informations systèmequ’OnlyFans incite à cibler les utilisateurs australiens pour qu’ils téléchargent un fichier CMD qui vole les informations système
- Chaîne d’infection Fansly Whoamiqui utilise des images explicites de modèles Fansly ukrainiens et russes pour inciter les utilisateurs polonais à télécharger un fichier CMD qui exfiltre les résultats de la commande whoami
- Chaîne d’infection de mise à jour Windowsqui cible les utilisateurs belges avec de faux scripts de mise à jour Windows conçus pour exécuter des commandes telles que tasklist et systeminfo
Il convient de noter que la dernière séquence d’attaque a été mise en évidence par l’équipe d’intervention en cas d’urgence informatique d’Ukraine (CERT-UA) en mai 2023 dans le cadre d’une campagne APT28 dirigée contre les institutions gouvernementales du pays.
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
Cela soulève la possibilité que la campagne Steal-It pourrait également être l’œuvre d’un acteur menaçant parrainé par l’État russe.
« Les scripts PowerShell personnalisés des acteurs de la menace et l’utilisation stratégique des fichiers LNK dans les archives ZIP mettent en évidence leur expertise technique », ont déclaré les chercheurs. « La persistance maintenue en déplaçant les fichiers du dossier Téléchargements vers le dossier Démarrage et en les renommant souligne l’engagement des acteurs malveillants en faveur d’un accès prolongé. »