Російські хакери використовують нову вразливість NTLM

Хакери, ймовірно пов'язані з Росією, скористалися нещодавно виправленою вразливістю безпеки в протоколі Windows NT LAN Manager (NTLM) для проведення кібератак проти України.

Ця вразливість, що отримала ідентифікатор CVE-2024-43451 (оцінка серйозності CVSS: 6,5), дозволяє зловмисникам викрасти хеш-код NTLMv2 користувача. Microsoft випустила оновлення безпеки на початку цього тижня.

Про це йдеться в публікації thehackernews.com 

"Для спрацювання цієї вразливості достатньо мінімальної взаємодії користувача із зараженим файлом, наприклад, виділення (один клік), перегляду властивостей (правий клік) або виконання будь-якої дії, окрім відкриття чи запуску", - повідомила компанія Microsoft у своєму посібнику з безпеки.

Ізраїльська компанія кібербезпеки ClearSky, яка виявила експлуатацію цього нульового дня у червні 2024 року, повідомила, що її використовували для доставки відкритого RAT-шкідника Spark RAT.

"Вразливість активується файлами URL, що призводить до зловмисної активності", - заявила компанія, додавши, що ці файли розміщувалися на офіційному вебсайті українського уряду, який дозволяє користувачам завантажувати навчальні сертифікати.

Атака відбувається шляхом розсилки фішингових листів із зламаного сервера українського уряду ("doc.osvita-kp.gov.ua"). Листи спонукають одержувачів оновити свої навчальні сертифікати, натиснувши на замасковану під посилання веб-посилання.

Після натискання відбувається завантаження ZIP-архіву, що містить шкідливий файл ярлика Інтернету (.URL). Вразливість спрацьовує, коли жертва взаємодіє з цим файлом, клацнувши правою кнопкою миші, видаляючи його або перетягуючи в іншу папку.

Цей файл URL призначений для встановлення з'єднань із віддаленим сервером ("92.42.96.30") для завантаження додаткових компонентів, включаючи Spark RAT.

"Крім того, під час тестування в середовищі пісочниці було зафіксовано спробу передачі хешу NTLM (NT LAN Manager) через протокол SMB (Server Message Block)", - повідомила компанія ClearSky. "Отримавши хеш NTLM, зловмисник може виконати атаку Pass-the-Hash для ідентифікації як користувача, пов'язаного із захопленим хешем, без необхідності знання відповідного пароля."

Команда реагування на комп'ютерні інциденти України (CERT-UA) пов'язує цю активність із ймовірно російською загрозою, яку вони відстежують під кодовою назвою UAC-0194.

За останні тижні відомство також попереджало про використання фішингових листів із приманками, пов'язаними з податками, для розповсюдження легального програмного забезпечення для віддаленого робочого стола під назвою LiteManager. Ця атака, за їхніми даними, має фінансову мотивацію та здійснюється загрозою під назвою UAC-0050.

"Бухгалтери підприємств, комп'ютери яких працюють із системами дистанційних банківського ПЗ, перебувають у зоні особливого ризику", - попередила CERT-UA.

 "У деяких випадках, як свідчать результати комп'ютерно-криміналістичних досліджень, від моменту початкової атаки до моменту крадіжки коштів може минути не більше години."

Описані кібератаки є яскравим прикладом того, як кіберзлочинці використовують найсучасніші технології для досягнення своїх цілей. Зловмисники демонструють високий рівень адаптації та швидкості реагування на зміни в системі безпеки. 

Для ефективного захисту від таких атак необхідно постійно вдосконалювати системи безпеки, співпрацювати з міжнародними партнерами та обмінюватися розвідданими про кіберзагрози. Крім того, важливо підвищувати рівень кібергігієни серед користувачів, адже саме людський фактор часто стає вирішальним у ланцюжку кібератак.

------

Автор -  Andrii Dydyk для  RSSHub ( rss.lviv.ua)