Nueva Táctica de Ciberataque Descubierta por Investigadores de Proofpoint
Investigadores de ciberseguridad de Proofpoint han desvelado una nueva táctica empleada por el actor de amenazas cibernéticas TA577, revelando un objetivo menos común en sus operaciones: el robo de información de autenticación NT LAN Manager (NTLM). Este método podría ser explotado para la recolección de datos sensibles y facilitar actividades maliciosas adicionales.
Ataques Dirigidos a la Autenticación NTLM
En un análisis publicado hoy, el equipo de Proofpoint identificó al menos dos campañas realizadas por TA577 los días 26 y 27 de febrero de 2024 que empleaban esta técnica. Estas campañas apuntaron a cientos de organizaciones a nivel mundial, enviando decenas de miles de mensajes diseñados para aparecer como respuestas a correos electrónicos previos, una táctica conocida como secuestro de hilos, y contenían adjuntos HTML comprimidos.
Técnica de Secuestro de Hilos y Captura de Hashes NTLM
Cada adjunto tenía un hash de archivo único, y los archivos HTML dentro estaban personalizados para destinatarios específicos. Al abrirlos, estos archivos iniciaban un intento de conexión a un servidor SMB a través de un meta refresh a un URI de esquema de archivo que terminaba en .txt. Esta conexión estaba diseñada para llegar a un recurso SMB externo controlado por el actor de la amenaza, con el objetivo de capturar hashes NTLM.
Conclusiones del Análisis de Proofpoint
El análisis de Proofpoint no detectó ninguna entrega de malware desde estos URL. En cambio, los investigadores concluyeron que el objetivo de TA577 era capturar pares de desafío/respuesta NTLMv2 para robar hashes NTLM, basándose en las características de la cadena de ataque y las herramientas utilizadas.
Implicaciones y Recomendaciones de Seguridad
Los hashes NTLM robados podrían potencialmente ser explotados para descifrar contraseñas o facilitar ataques de «Pass-The-Hash» dentro de las organizaciones objetivo. Los indicadores sugieren el uso del kit de herramientas de código abierto Impacket en los servidores SMB, una práctica poco común en entornos SMB estándar. Proofpoint advierte sobre el aumento en el abuso de URI de esquema de archivo y recomienda bloquear el SMB saliente para prevenir explotaciones.
Este análisis subraya la necesidad de una vigilancia constante y la implementación de medidas de seguridad avanzadas para protegerse contra tácticas de ataque innovadoras. La adaptación continua de las estrategias de ciberseguridad es esencial para enfrentar las amenazas emergentes en el ciberespacio.
No responses yet