Se ha identificado que el actor de amenazas TA577, también conocido como Cluster Water Curupira, ha comenzado a utilizar archivos ZIP adjuntos en correos electrónicos de phishing para robar hash NT LAN Manager (NTLM). Según un informe de Proofpoint, esta técnica puede comprometer la seguridad de información valiosa y habilitar acciones malintencionadas. Al menos dos campañas que emplean esta táctica fueron registradas el 26 y 27 de febrero de 2024 y se enviaron miles de mensajes a cientos de organizaciones en todo el mundo.
Para aumentar la efectividad de los ataques, los mensajes falsos se presentan como respuestas legítimas a correos anteriores utilizando la técnica de secuestro de hilos («thread hijacking»). Los archivos ZIP adjuntos incluyen un archivo HTML que se comunica con un servidor Server Message Block (SMB) controlado por el actor. De esta manera, la campaña de TA577 tiene como objetivo capturar pares Challenge/Response de NTLMv2 del servidor SMB para robar los hashes de NTLM. Los adversarios que tienen en su posesión un hash de contraseña pueden autenticarse sin la contraseña subyacente para obtener acceso no autorizado a información sensible a través de ataques «pass-the-hash» (PtH).
Los expertos en ciberseguridad sugieren que la TA577 es uno de los grupos de cibercriminales más sofisticados y con experiencia en la distribución de familias de malware como QakBot y PikaBot. Además, su capacidad para adoptar nuevas tácticas, técnicas y procedimientos con rapidez sugiere que el actor tiene los recursos y la experiencia para iterar y probar nuevos métodos de entrega. Por esta razón, se recomienda a las organizaciones que bloqueen el tráfico saliente de SMB para prevenir la explotación.
Vía The Hacker News
