Windows: rubati hash di autenticazione NTLM tramite phishing

Il gruppo hacker TA577 ha recentemente utilizzato e-mail di phishing per rubare gli hash di autenticazione di Windows NT LAN Manager (NTLM). Tale tattica è stata sfruttata per eseguire il dirottamento degli account. TA577 è considerato un broker di accesso iniziale (IAB), precedentemente associato a Qbot e collegato alle infezioni del ransomware Black Basta. La società di sicurezza e-mail Proofpoint ha riferito che, sebbene di recente abbia visto TA577 mostrare una preferenza per l'implementazione di Pikabot, due recenti ondate di attacco dimostrano una tattica diversa. Le distinte campagne TA577 lanciate il 26 e 27 febbraio 2024 hanno diffuso migliaia di messaggi a centinaia di organizzazioni in tutto il mondo, prendendo di mira gli hash NTLM dei dipendenti. Questi servono per l'autenticazione e la sicurezza della sessione. Tuttavia, possono essere acquisiti per il cracking delle password offline. Inoltre, gli hacker possono utilizzarli negli attacchi "pass-the-hash".

Windows: come funziona l’attacco del gruppo hacker TA577

Gli hash rubati possono consentire agli aggressori di aumentare i propri privilegi, dirottare account, accedere a informazioni sensibili, eludere prodotti di sicurezza e spostarsi lateralmente all’interno di una rete violata. La nuova campagna è iniziata con e-mail di phishing che sembrano essere risposte alla discussione precedente di un bersaglio (tecnica nota come thread hijacking). Le e-mail allegano archivi ZIP univoci (per vittima) contenenti file HTML che utilizzano tag HTML di aggiornamento META. Questi attivano una connessione automatica a un file di testo su un server SMB (Server Message Block) esterno. Quando il dispositivo Windows si connette al server, tenterà automaticamente di eseguire una sfida/risposta NTLMv2. Ciò consentirà al server remoto controllato dall'aggressore di rubare gli hash di autenticazione NTLM. Proofpoint afferma che questi URL non hanno fornito alcun payload di malware, quindi il loro obiettivo principale sembra essere quello di acquisire hash Windows NTLM.

Proofpoint afferma che limitare l’accesso guest ai soli server PMI non mitiga l’attacco TA577. Gli hacker sfruttano l’autenticazione automatica sul server esterno che ignora la necessità di accesso guest. Una misura potenzialmente efficace potrebbe essere la configurazione di un firewall per bloccare tutte le connessioni SMB in uscita (in genere le porte 445 e 139), interrompendo l'invio di hash NTLM. Un'altra misura protettiva sarebbe quella di implementare un filtro della posta elettronica che blocchi i messaggi contenenti file HTML compressi. Questi potrebbero infatti attivare connessioni a endpoint non sicuri al momento dell'avvio. È anche possibile configurare i criteri di gruppo di Windows "Sicurezza di rete: limita NTLM: traffico NTLM in uscita verso server remoti" per impedire l'invio di hash NTLM. Tuttavia, ciò potrebbe portare a problemi di autenticazione contro server legittimi.