le groupe de piratage connu sous le nom de TA577 a récemment changé de tactique en utilisant des courriels de phishing pour voler des hachages d’authentification NT LAN Manager (NTLM) pour effectuer des détournements de compte.

TA577 est considéré comme un courtier d’accès initial (IAB), précédemment associé à Qbot et lié aux infections par ransomware Black Basta.

La société de sécurité de messagerie Proofpoint rapporte aujourd’hui que bien qu’elle ait vu TA577 montrer une préférence pour le déploiement de Pikabot récemment, deux vagues d’attaques récentes démontrent une tactique différente.

Des campagnes distinctes TA577 lancées les 26 et 27 février 2024 ont diffusé des milliers de messages à des centaines d’organisations dans le monde entier, ciblant les hachages NTLM des employés.

Les hachages NTLM sont utilisés dans Windows pour l’authentification et la sécurité de session et peuvent être capturés pour le craquage de mot de passe hors ligne afin d’obtenir le mot de passe en clair.

De plus, ils peuvent être utilisés dans des attaques « pass-the-hash » qui n’impliquent aucun craquage, où les attaquants utilisent le hachage tel quel pour s’authentifier auprès d’un serveur ou d’un service distant.

Les hachages volés peuvent, dans certaines circonstances et en fonction des mesures de sécurité en place, permettre aux attaquants d’augmenter leurs privilèges, de détourner des comptes, d’accéder à des informations sensibles, d’échapper aux produits de sécurité et de se déplacer latéralement au sein d’un réseau violé.

Utiliser le phishing pour voler des hachages NTLM
La nouvelle campagne a commencé avec des courriels de phishing qui semblent être des réponses à la discussion précédente d’une cible, une technique connue sous le nom de détournement de fil.

Exemple d’e-mail malveillant

Les courriels joignent des archives ZIP uniques (par victime) contenant des fichiers HTML qui utilisent des balises HTML de MÉTA-actualisation pour déclencher une connexion automatique à un fichier texte sur un serveur SMB (Server Message Block) externe.

Lorsque le périphérique Windows se connecte au serveur, il tente automatiquement d’effectuer un défi/réponse NTLMv2, permettant au serveur distant contrôlé par l’attaquant de voler les hachages d’authentification NTLM.

Le fichier HTML malveillant

« Il est à noter que TA577 a livré le code HTML malveillant dans une archive zip pour générer un fichier local sur l’hôte », lit le rapport de Proofpoint.

« Si l’URI du schéma de fichiers était envoyé directement dans le corps de l’e-mail, l’attaque ne fonctionnerait pas sur les clients de messagerie Outlook corrigés depuis juillet 2023. »

Proofpoint indique que ces URL n’ont fourni aucune charge utile de logiciels malveillants, leur objectif principal semble donc être de capturer les hachages NTLM.

Proofpoint mentionne des artefacts spécifiques présents sur les serveurs SMB qui sont généralement non standard, tels que la boîte à outils open source Impacket, ce qui indique que ces serveurs sont utilisés dans des attaques de phishing.

Paquet capturé de la campagne

Brian, professionnel de la cybersécurité à Pittsburgh, note que pour que les acteurs de la menace utilisent ces hachages volés pour violer les réseaux, l’authentification multifacteur doit être désactivée sur les comptes.

Le chercheur en vulnérabilité Will Dormann suggère qu’il est possible que les hachages ne soient pas volés pour violer les réseaux, mais plutôt comme une forme de reconnaissance pour trouver des cibles précieuses.

« Je pouvais imaginer que la combinaison du nom de domaine, du nom d’utilisateur et du nom d’hôte pouvait taquiner certaines cibles juteuses? », a tweeté Dormann.

Proofpoint indique que la restriction de l’accès invité aux seuls serveurs SMB n’atténue pas l’attaque TA577, car elle exploite l’authentification automatique sur le serveur externe qui contourne le besoin d’accès invité.

Une mesure potentiellement efficace pourrait consister à configurer un pare-feu pour bloquer toutes les connexions SMB sortantes (généralement les ports 445 et 139), en arrêtant l’envoi de hachages NTLM.

Une autre mesure de protection consisterait à implémenter un filtrage des e-mails qui bloque les messages contenant des fichiers HTML compressés, car ceux-ci peuvent déclencher des connexions à des points de terminaison dangereux au lancement.

Il est également possible de configurer la stratégie de groupe Windows « Sécurité du réseau: Restreindre NTLM: Trafic NTLM sortant vers des serveurs distants » pour empêcher l’envoi de hachages NTLM. Cependant, cela pourrait entraîner des problèmes d’authentification contre des serveurs légitimes.

Pour les organisations utilisant Windows 11, Microsoft a introduit une fonctionnalité de sécurité supplémentaire pour les utilisateurs de Windows 11 afin de bloquer les attaques basées sur NTLM sur les PME, ce qui serait une solution efficace.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *