گروه هک معروف به TA577 اخیراً تاکتیکهای جدیدی را با استفاده از ایمیلهای فیشینگ برای سرقت هشهای احراز هویت استفاده کرده است. کمپین TA577 که در تاریخ 26 و 27 فوریه سال 2024 راه اندازی شده است، هزاران پیام را به صدها سازمان در سراسر جهان ارسال کرد و و هش های NTLM کارمندان را هدف قرار داد. هشهای NTLM NV ویندوز برای احراز هویت استفاده میشوند. مهاجمان، حسابهای کاربری را هک میکنند و به اطلاعات حساس دسترسی پیدا خواهند کرد.
استفاده از فیشینگ برای سرقت هشهای NTLM
کمپین جدید با ایمیلهای فیشینگ اقدام به هک اطلاعات را دارند. ایمیلها حاوی HTML هستند. وقتی که دستگاه ویندوز به سرور متصل میشود، مهاجمان میتوانند هشهای احراز هویت NTLM را بدزدند. Proofpoint خاطر نشان کرد که URLها بدافزار نیستند. اما به نظر میرسد که هدف آنها ضبط هشهای NTLM H است. برایان، کارشناس امنیت سایبری در پیتسبورگ خاطرنشان کرد که برای اینکه احتمال هک افزایش پیدا کند، احراز هویت چندعاملی باید در حسابها غیر فعال شود.
Proofpoint خاطر نشان کرد که محدود کردن دسترسی به سرورهای SMB حملات TA577 را کاهش نمی دهد. یکی از اقدامات محافظتی، اجرای فیلترینگ ایمیل است که پیامهای حاوی فایلهای HTML را مسدود میکند. برای سازمانهایی که از ویندوز 11 استفاده میکنند، مایکروسافت یک ویژگی امنیتی اضافی را معرفی کرده است. این قابلیت میتواند از بروز حملات مبتنی بر NTLM روی SMB جلوگیری کند. این راه حل بسیار موثر خواهد بود.