تالار مقالات بروز تکنولوژی

هکر‌ها در حملات فیشینگ، هش‌های احراز هویت NTLM را می‌دزدند

گروه هک معروف به TA577 اخیراً تاکتیک‌های جدیدی را با استفاده از ایمیل‌های فیشینگ برای سرقت هش‌های احراز هویت استفاده کرده است. کمپین TA577  که در تاریخ 26 و 27 فوریه سال 2024 راه اندازی شده است، هزاران پیام را به صدها سازمان در سراسر جهان ارسال کرد و و هش های NTLM کارمندان را هدف قرار داد. هش‌های NTLM  NV ویندوز برای احراز هویت استفاده می‌شوند. مهاجمان، حساب‌های کاربری را هک می‌کنند و به اطلاعات حساس دسترسی پیدا خواهند کرد.

استفاده از فیشینگ برای سرقت هش‌های NTLM

کمپین جدید با ایمیل‌های فیشینگ اقدام به هک اطلاعات را دارند. ایمیل‌ها حاوی HTML هستند. وقتی که دستگاه ویندوز به سرور متصل می‌شود، مهاجمان می‌توانند هش‌های احراز هویت NTLM را بدزدند. Proofpoint  خاطر نشان کرد که URL‌ها بدافزار نیستند. اما به نظر می‌رسد که هدف آن‌ها ضبط هش‌های NTLM  H است. برایان، کارشناس امنیت سایبری در پیتسبورگ خاطرنشان کرد که برای اینکه احتمال هک افزایش پیدا کند، احراز هویت چندعاملی باید در حساب‌ها غیر فعال شود.

Proofpoint  خاطر نشان کرد که محدود کردن دسترسی به سرورهای SMB حملات TA577  را کاهش نمی دهد. یکی از اقدامات محافظتی، اجرای فیلترینگ ایمیل است که پیام‌های حاوی فایل‌های HTML را مسدود می‌کند. برای سازمان‌هایی که از ویندوز 11 استفاده می‌کنند، مایکروسافت یک ویژگی امنیتی اضافی را معرفی کرده است. این قابلیت می‌تواند از بروز حملات مبتنی بر NTLM روی SMB‌ جلوگیری کند. این راه حل بسیار موثر خواهد بود.

 

 

 

مقالاتی که شما دوست دارید
مرا را در بهبود مقالات یاری کنید.

با نظردهی ما را در تکمیل مقالات یاری کنید.