Глобальна кампанія атак електронної пошти націлена на крадіжку хешів NTLM, що становить критичний ризик безпеки для цифрових активів

Складна кіберзагроза, що отримала назву TA577, розпочала нову глобальну кампанію атак електронною поштою, націлену на організації по всьому світу. Ця передова атака спеціально спрямована на крадіжку хешів NTLM – закодованих облікових даних, які є критично важливими для аутентифікації в середовищах Windows. Серйозність цієї загрози безпеці спонукала експертів з кібербезпеки випустити детальний аналіз, закликаючи організації впроваджувати термінові засоби захисту для їх цифрової інфраструктури та чутливих активів.

Розкрито методологію просунутих атак електронною поштою

Вектор атаки TA577 базується на стратегічно створених електронних вкладеннях, замаскованих під відповіді на існуюче листування. Коли нічого не підозрюючі жертви відкривають ці вкладення, запускається послідовність технічних процесів, що намагаються встановити з'єднання з зовнішніми серверами Server Message Block (SMB). Хоча ці вкладення не містять традиційних шкідливих програм, вони ефективно запитують пари виклику/відповіді NTLMv2, що дозволяє зловмисникам збирати хеші NTLM з вражаючою ефективністю.

Наслідки крадіжки хешів NTLM значно перевищують компрометацію окремих облікових даних. Дослідники кібербезпеки в Proofpoint підкреслюють, як ці вкрадені хеші можуть бути використані для операцій з підбору паролів або сприяти складним атакам "Pass-The-Hash", що дозволяє здійснювати латеральний рух по скомпрометованих мережах. Крім того, зібрана інформація – включаючи імена комп'ютерів, деталі доменів і імена користувачів – надає зловмисникам всебічну інформацію про цільові організації, що інформує про подальші атаки на критичну інфраструктуру та цифрові активи.

Критичні рекомендації з безпеки для захисту цифрових активів

З огляду на продемонстровану здатність TA577 швидко адаптувати тактики та впроваджувати інноваційні методи атаки, організаціям необхідно терміново зміцнити свою кібербезпекову позицію. Varonis Threat Labs підкреслює важливість проактивних стратегій захисту, особливо рекомендує блокувати вихідні SMB-з'єднання для запобігання потенційним компрометаціям. Хоча просте відключення доступу для гостей до SMB виявляється неефективним проти цієї загрози, впровадження комплексних протоколів безпеки залишається суттєвим для захисту від еволюціонуючих кіберзагроз.

Складні техніки інфільтрації, що застосовуються TA577, підкреслюють безперервну еволюцію кіберзагроз, які націлені на корпоративні мережі та потенційно пов'язану інфраструктуру цифрових активів. Оскільки організації працюють над забезпеченням своїх цифрових екосистем, підтримка пильності та впровадження проактивних заходів безпеки є критичними компонентами захисту від складних загроз. Дотримуючи рекомендацій експертів з безпеки та впроваджуючи надійні захисні рамки, організації можуть значно зменшити ризики, пов'язані з крадіжкою NTLM хешів, і захистити цінні цифрові активи від несанкціонованого доступу та експлуатації.

Для користувачів платформ цифрових активів та криптовалютних бірж ця загроза підкреслює важливість впровадження комплексних практик безпеки електронної пошти та підтримання надійних механізмів аутентифікації для запобігання потенційному компрометації облікових даних, що може призвести до несанкціонованого доступу до фінансових рахунків і цифрових гаманців.