Un grupo de amenazas que actúa como intermediario de acceso inicial se dirige a organizaciones con archivos adjuntos de correo electrónico no autorizados que roban información de autenticación de Microsoft Windows NT LAN Manager (NTLM) cuando se abren. Las campañas del grupo la semana pasada se dirigieron a cientos de entidades con miles de mensajes de correo electrónico, advierten los investigadores.
NTLM es el mecanismo de autenticación predeterminado que se utiliza en las redes de Windows cuando una computadora intenta acceder a varios recursos o servicios de la red, por ejemplo, archivos compartidos a través del protocolo SMB. Las credenciales NTLM no se envían de forma clara sino como un hash criptográfico, pero existen formas de recuperar potencialmente las contraseñas de dichos hashes dependiendo de cuán complejas sean las contraseñas o de usar los hashes directamente en ataques.
«Proofpoint normalmente observa a TA577 realizando ataques para entregar malware y nunca ha observado a este actor de amenazas demostrando la cadena de ataque utilizada para robar credenciales NTLM observadas por primera vez el 26 de febrero», dijeron investigadores de la firma de seguridad Proofpoint en un informe. «Recientemente, se ha observado que TA577 entrega Pikabot utilizando una variedad de cadenas de ataque».
El secuestro de hilos conduce a archivos HTML fraudulentos
TA577, también conocido en la industria de la seguridad como Hive0118, es un agente de acceso motivado financieramente con una larga trayectoria en la distribución de programas troyanos. El grupo solía ser uno de los principales afiliados de la botnet Qbot antes de que fuera interrumpida, pero también se le ha observado distribuyendo programas de malware como ID heladoSystemBC, SmokeLoader, Ursnif, Cobalt Strike y, más recientemente, Pikabot.
Dado que el grupo vende acceso a computadoras a otras bandas de ciberdelincuentes, los sistemas comprometidos por TA577 han tenido infecciones de ransomware posteriores, sobre todo con Black Basta. TA577 también se especializa en una técnica conocida como secuestro de hilos, en la que sus mensajes de correo electrónico fraudulentos se diseñan para que aparezcan como respuestas a correos electrónicos legítimos enviados previamente. Las últimas campañas vistas por Proofpoint utilizaban mensajes en los que se preguntaba a los destinatarios si tenían tiempo de mirar un documento enviado anteriormente.
Los correos electrónicos contenían un archivo .zip junto con una contraseña necesaria para descomprimirlo. El archivo, a su vez, contenía un documento HTML de aspecto inofensivo personalizado para cada víctima. Cuando se abre, el HTML activa automáticamente un intento de conexión a un servidor SMB remoto controlado por atacantes a través de una meta actualización en el archivo que apunta a un URI de esquema de archivos que termina en .txt.