TA577 Exploits NTLM Authentication Vulnerability
2024/03/04 InfoSecurity — Proofpoint のサイバー・セキュリティ研究者たちが注目しているのは、サイバー犯罪者である TA577 アクターが採用する新たな戦術であり、また、これまでの彼らの活動において稀有だった狙いである。この脅威グループは、NT LAN Manager (NTLM) の認証情報を盗み出し、攻撃チェーンを利用していることが判明した。この攻撃方法は、機密データの収集に悪用される可能性があり、さらなる悪意のある活動を促進する可能性を持つものだ。
今日 (3月4日) の未明に発表された分析において、Proofpoint が特定したのは、2024年2月26日/27日に TA577 が、この手法を用いて実施した、少なくとも2件のキャンペーンの存在である。
これらのキャンペーンでは、世界中の数百の組織を標的とし、数万件のメッセージが送信されている。これらのメッセージは、スレッド・ハイジャックとして知られる手口であり、以前の電子メールへの返信として表示されるように設計され、また、ZIP 圧縮された HTML の添付ファイルが含まれていた。
それぞれの添付ファイルには固有のファイル・ハッシュがあり、その中の HTML ファイルは特定の受信者向けに調整されていた。それらのファイルが開かれると、”.txt” で終わるファイル・スキーム URI へのメタ・リフレッシュを介して、SMB (Server Message Block) サーバへの接続が試みられた。この接続は、NTLM ハッシュをキャプチャすることを目的とし、脅威アクターが制御する外部の SMB リソースへと到達するように設計されていた。
Proofpoint の分析では、これらの URL からの、マルウェア配信は検出されなかったとのことだ。しかし、攻撃チェーンと使用されたツールの特徴から、TA577 の目的は NTLMv2 の Challenge/Response のペアをキャプチャし、NTLM ハッシュを盗むことであると、研究者たちは結論づけた。
窃取された NTLM ハッシュは、パスワード・クラッキングでの悪用や、標的とされた組織内での “Pass-The-Hash” 攻撃を、容易にする可能性があるという。そして攻撃の指標が示唆するのは、標準的な SMB 環境では一般的ではない、オープンソースのツールキット Impacket が、SMB サーバ上で使用されていることである。
注目に値するのは、TA577 が使用した配信方法 (ZIP アーカイブ内の悪意の HTMLファイル) が、セキュリティ対策を回避するために、特別に設計されていることである。このファイルは、外部の SMB サーバへの認証を試みるため、SMB へのゲスト・アクセスを無効化しても、攻撃を軽減することは不可能である。
Proofpoint の研究者たちは、「複数の脅威アクターたちが、ファイル・スキームの URI を悪用して、受信者を SMB/WebDAV などの外部ファイル共有に誘導している。そこでは、マルウェア配信のために、リモート・コンテンツにアクセスさせる事例が、増加していることも確認している。ユーザー組織は、このキャンペーンで確認された悪用を防ぐために、アウト・バウンド SMB をブロックすべきである」と警告している。
このブログ内を検索しましたが、TA577 という脅威アクターは初登場のようです。なんというか、大胆かつ慎重にオペレーションを実行しているという感じがします。何らかの、次の攻撃ステップがあるのが、それとも IAB としての侵害なのか、そのあたりが不明です。よろしければ、NTLM で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.