1. Группировка TA577 изменила тактику атак и начала использовать фишинговые электронные письма для кражи NTLM хэшей. В результате двух волн атак 26 и 27 февраля 2024 года были разосланы тысячи писем с целью кражи NTLM хэшей сотрудников организаций по всему миру. Хэши NTLM используются в Windows для аутентификации и обеспечения безопасности сеансов. Метод атаки включает в себя отправку фишинговых писем с уникальными ZIP архивами, содержащими HTML файлы, использующие метатеги META refresh для кражи NTLM хэшей. Цель атаки – захват NTLM хэшей, не доставка вредоносных программ. Для использования украденных хэшей в атаках на сети требуется отключение многофакторной аутентификации (MFA) в учетных записях. Рекомендуемые меры защиты включают настройку фильтрации электронной почты для блокировки сообщений с архивами HTML файлов и конфигурацию брандмауэра для блокировки исходящих SMB соединений (порты 445 и 139). Специалисты подчеркивают, что киберпреступники используют вредоносные архивы, чтобы обойти защиту почтовых клиентов. Предполагается, что кража хэшей может служить формой разведки для определения ценных жертв. Сергей Полунин, руководитель группы защиты инфраструктурных ИТ решений компании “Газинформсервис”, отметил, что доставка вредоносного кода на компьютер жертвы может быть осуществлена различными способами, но все атаки объединяет один паттерн.Thank you for reading this post, don't forget to subscribe!
2. Компания: ООО “ИТ Медиа”.
3. Пользователь: лицо, получающее доступ к сервисам и информации на Сайте. Обязательства Пользователя:
– Пользователь обязуется не нарушать законы и нормы, а также не предпринимать действий, которые могут привести к нарушению работы Сайта.
– Пользователь несет ответственность за размещенную им информацию на Сайте.
– Пользователь отказывается от претензий на авторство при размещении информации на Сайте. Правила использования Сайта:
– Любые материалы, файлы и сервисы на Сайте не могут быть воспроизведены без разрешения Компании.
– Пользователь обязан соблюдать условия настоящего Соглашения при использовании Сайта. Изменения в Соглашении:
– Компания вправе изменять условия Соглашения в одностороннем порядке.
– Изменения вступают в силу через 2 дня после их размещения на Сайте.
– Пользователь обязан удалить все материалы Сайта в случае несогласия с изменениями. Предостережения:
– Компания не несет ответственности за посещение и использование внешних ресурсов, ссылки на которые могут содержаться на сайте.
Группировка TA577 совершила изменения в своей тактике атак, перейдя к использованию фишинговых электронных писем для кражи NTLM хэшей. В результате двух волн атак, произошедших 26 и 27 февраля 2024 года, тысячи писем были разосланы с целью похищения NTLM хэшей сотрудников компаний по всему миру. NTLM хэши используются в операционной системе Windows для аутентификации и обеспечения безопасности сеансов. Метод атаки включает в себя отправку фишинговых писем с уникальными ZIP архивами, содержащими HTML файлы, использующие метатеги META refresh для кражи NTLM хэшей. Целью атаки является захват NTLM хэшей, а не доставка вредоносных программ.
Для использования украденных хэшей в атаках на сети требуется отключение многофакторной аутентификации в учетных записях. Рекомендуемые меры защиты включают настройку фильтрации электронной почты для блокировки сообщений с архивами HTML файлов и конфигурацию брандмауэра для блокировки исходящих SMB соединений (порты 445 и 139). Специалисты подчеркивают, что киберпреступники используют вредоносные архивы, чтобы обойти защиту почтовых клиентов. Предполагается, что кража хэшей может служить формой разведки для определения ценных жертв.
Сергей Полунин, руководитель группы защиты инфраструктурных ИТ решений компании “Газинформсервис”, подчеркнул: “Доставка вредоносного кода на компьютер жертвы может быть осуществлена различными способами, но все атаки объединяет один паттерн.” Это подчеркивает важность осознанности при работе с электронными письмами и важность следования рекомендациям по безопасности.
Новая тактика киберпреступников требует от пользователей более внимательного отношения к безопасности в сети. Следует быть особенно бдительными при открытии вложений в электронных письмах и следовать рекомендациям специалистов по информационной безопасности. Сохранение ценных данных и личной информации важно для предотвращения утечек и нежелательного доступа со стороны злоумышленников.