Hackers roban hashes NTLM de Windows en ataques de phishing
¿Qué está pasando?
El grupo de hackers conocido como TA577 ha cambiado recientemente sus tácticas usando correos electrónicos de phishing para robar los hashes de autenticación NTLM (NT LAN Manager) para realizar secuestros de cuentas. Este grupo, considerado un corredor de acceso inicial (IAB), que anteriormente estaba asociado con Qbot y vinculado a infecciones de ransomware de Black Basta, ha lanzado campañas distintas el 26 y 27 de febrero de 2024, enviando miles de mensajes a cientos de organizaciones en todo el mundo, con el objetivo de robar hashes NTLM de los empleados. Los hashes NTLM son utilizados en Windows para autenticación y seguridad de sesión y pueden ser capturados para desciframiento de contraseñas offline, obteniendo la contraseña en texto plano. También pueden usarse en ataques de “pase de hash”, donde los atacantes usan el hash tal cual para autenticarse en un servidor o servicio remoto sin necesidad de descifrarlo.
¿Qué significa?
El uso de correos electrónicos de phishing señaló el inicio de la nueva campaña, que emplea una técnica conocida como secuestro de conversación. Los emails adjuntan archivos ZIP únicos por víctima que contienen archivos HTML usando la etiqueta META refresh para provocar una conexión automática a un archivo de texto en un servidor SMB externo. Cuando el dispositivo Windows se conecta al servidor, automáticamente intenta realizar un Reto/Respuesta NTLMv2, permitiendo al servidor controlado por el atacante robar los hashes de autenticación NTLM. Este método destaca porque los archivos HTML maliciosos se entregan en un archivo zip para generar un archivo local en el host; si el URI de esquema de archivo se enviara directamente en el cuerpo del correo electrónico, el ataque no funcionaría en clientes de correo de Outlook parcheados desde julio de 2023. Aunque estas URLs no entregaron cargas útiles de malware, su objetivo principal parece ser capturar hashes NTLM.
¿Por qué importa?
La recolección de hashes de autenticación NTLM puede permitir a los atacantes, bajo ciertas circunstancias y dependiendo de las medidas de seguridad implementadas, escalar privilegios, secuestrar cuentas, acceder a información sensible, evadir productos de seguridad y moverse lateralmente dentro de una red comprometida. Es importante mencionar que, para que los actores de amenazas utilicen estos hashes robados para infiltrarse en redes, debe estar deshabilitada la autenticación de múltiples factores en las cuentas. Además, la investigación sugiere que la sustracción de hashes puede no buscarse para infiltrar redes sino como una forma de reconocimiento para encontrar objetivos valiosos, implicando que la combinación de nombre de dominio, nombre de usuario y nombre de host podría revelar objetivos atractivos.
Para mas informacion, checa el articulo original aqui.
