El actor de amenazas conocido como TA577 Se ha observado el uso de archivos adjuntos ZIP en correos electrónicos de phishing con el objetivo de robar NT LAN Manager (NTLM) hashes.
La nueva cadena de ataque «puede utilizarse con fines de recopilación de información confidencial y para permitir actividades de seguimiento», según la firma de seguridad empresarial Proofpoint. dicho en un informe del lunes.
Se observaron al menos dos campañas que aprovecharon este enfoque los días 26 y 27 de febrero de 2024, añadió la empresa. Las oleadas de phishing difundieron miles de mensajes y se dirigieron a cientos de organizaciones en todo el mundo.
Los mensajes en sí aparecieron como respuestas a correos electrónicos anteriores, una técnica conocida llamada secuestro de hilos, en un intento por aumentar la probabilidad de éxito de los ataques.
Los archivos adjuntos ZIP vienen con un archivo HTML que está diseñado para comunicarse con un servidor de Bloque de mensajes del servidor (SMB) controlado por un actor.
«El objetivo de TA577 es capturar pares de desafío/respuesta NTLMv2 del servidor SMB para robar hashes NTLM en función de las características de la cadena de ataque y las herramientas utilizadas», dijo la compañía, que luego podría usarse para pasar el hash (PtH) ataques de tipo.
Esto significa que los adversarios que poseen un hash de contraseña no necesitan la contraseña subyacente para autenticar una sesión, lo que en última instancia les permite moverse a través de una red y obtener acceso no autorizado a datos valiosos.
TA577, que se superpone con un grupo de actividades rastreado por Trend Micro como Agua Curupira, es uno de los grupos de cibercrimen más sofisticados. Se ha relacionado con la distribución de familias de malware como QakBot y PikaBot en el pasado.
«La velocidad a la que TA577 adopta y distribuye nuevas tácticas, técnicas y procedimientos (TTP) sugiere que el actor de amenazas probablemente tenga el tiempo, los recursos y la experiencia para iterar y probar rápidamente nuevos métodos de entrega», dijo Proofpoint.
También describió al actor de amenazas como muy consciente de los cambios en el panorama de las amenazas cibernéticas, adaptando y refinando rápidamente sus técnicas y métodos de entrega para evitar la detección y eliminar una variedad de cargas útiles. Se recomienda encarecidamente a las organizaciones que bloqueen las SMB salientes para evitar la explotación.