Last Updated on 2024-07-02 08:36 by admin

企業セキュリティ会社Proofpointは、サイバー犯罪グループTA577がフィッシングメールにZIPアーカイブ添付ファイルを使用し、NT LAN Manager（NTLM）ハッシュを盗む新たな攻撃手法を使用していると報告した。この攻撃は、2024年2月26日と27日に少なくとも2回のキャンペーンで観察され、世界中の数百の組織を対象に数千のメッセージが配信された。メッセージは以前のメールへの返信として現れ、成功率を高めるために既知の「スレッドハイジャック」という技術を使用していた。

ZIP添付ファイルには、攻撃者が制御するServer Message Block（SMB）サーバーに接触するよう設計されたHTMLファイルが含まれている。TA577の目的は、SMBサーバーからNTLMv2チャレンジ/レスポンスペアをキャプチャし、NTLMハッシュを盗むことである。これにより、攻撃者はパスワードハッシュを持っていれば、基礎となるパスワードなしでセッションを認証し、ネットワークを移動して貴重なデータへの不正アクセスを可能にする。

TA577は、過去にQakBotやPikaBotなどのマルウェアファミリーの配布に関連していた、最も洗練されたサイバー犯罪グループの一つである。Proofpointは、TA577が新しい攻撃手法、技術、および手順（TTP）を採用し、配布する速度は、この脅威アクターが新しい配信方法を迅速に反復し、テストするための時間、リソース、および経験を持っていることを示唆していると述べた。また、サイバー脅威の風景の変化に鋭敏に気づき、その伝統と配信方法を迅速に適応させ、検出を回避し、さまざまなペイロードをドロップするとも記述されている。

組織には、悪用を防ぐために外部へのSMBをブロックすることが強く推奨される。

【ニュース解説】

企業セキュリティ会社Proofpointは、サイバー犯罪グループTA577が新たな手法を用いて、ITネットワークを標的にした攻撃を行っていると報告しました。この攻撃では、フィッシングメールにZIPアーカイブ添付ファイルを使用し、NT LAN Manager（NTLM）ハッシュを盗むことを目的としています。2024年2月26日と27日に観測されたこの攻撃は、世界中の数百の組織を対象に数千のメッセージが配信されました。メッセージは、以前のメールへの返信として現れる「スレッドハイジャック」という技術を使用しており、攻撃の成功率を高めています。

ZIP添付ファイル内のHTMLファイルは、攻撃者が制御するServer Message Block（SMB）サーバーに接触するよう設計されています。TA577の目的は、SMBサーバーからNTLMv2チャレンジ/レスポンスペアをキャプチャし、NTLMハッシュを盗むことです。これにより、攻撃者はパスワードハッシュを持っているだけで、基礎となるパスワードなしでセッションを認証し、ネットワーク内を移動して貴重なデータへの不正アクセスを可能にします。

この攻撃手法の背景にあるTA577は、過去にQakBotやPikaBotなどのマルウェアファミリーの配布に関与していたことで知られる、高度なサイバー犯罪グループです。Proofpointによると、TA577は新しい攻撃手法、技術、および手順（TTP）を迅速に採用し、配布する能力を持っており、これは彼らが新しい配信方法を素早く反復し、テストするための十分な時間、リソース、および経験を持っていることを示しています。また、サイバー脅威の風景が変化するにつれて、その伝統と配信方法を迅速に適応させ、検出を回避し、さまざまなペイロードをドロップする能力にも優れています。

このような攻撃は、組織のセキュリティ体制にとって大きな脅威となります。特に、NTLMハッシュを盗むことに成功すれば、攻撃者は被害者のネットワーク内で自由に動き回り、重要な情報を盗み出すことが可能になります。そのため、組織は外部へのSMB通信をブロックするなど、適切なセキュリティ対策を講じることが強く推奨されます。また、従業員へのセキュリティ意識の向上や、フィッシングメールに対する警戒を常に促すことも重要です。この攻撃は、サイバーセキュリティの継続的な進化と、それに対応するための組織の取り組みの重要性を改めて浮き彫りにしています。

from Warning: Thread Hijacking Attack Targets IT Networks, Stealing NTLM Hashes.

admin

See Full Bio