Site icon Kiber.ba

Kibernetički kriminalci koriste PowerShell za krađu NTLMv2 heševa iz kompromitovanih Windowsa

Kibernetički kriminalci koriste PowerShell za krađu NTLMv2 heševa iz kompromitovanih Windowsa - Kiber.ba

Kibernetički kriminalci koriste PowerShell za krađu NTLMv2 heševa iz kompromitovanih Windowsa - Kiber.ba

Nova kampanja kibernetičkih napada koristi PowerShell skriptu povezanu sa legitimnim red teaming alatom za pljačku NTLMv2 heševa iz kompromitovanih Windows sistema koji se prvenstveno nalaze u Australiji, Poljskoj i Belgiji.

Aktivnost je dobila kodni naziv Steal-It od strane Zscaler ThreatLabz.

“U ovoj kampanji hakeri kradu i eksfiltriraju NTLMv2 hešove koristeći prilagođene verzije Nishangove Start-CaptureServer PowerShell skripte, izvršavajući različite sistemske komande i eksfiltriraju preuzete podatke preko Mockbin API-ja”, rekli su istraživači sigurnosti Niraj Shivtarkar i Avinash Kumar.

Nishang je framework i kolekcija PowerShell skripti i payload-a za ofanzivnu sigurnost, pen testiranje i red teaming.

Napadi koriste čak pet različitih lanaca infekcije, iako svi koriste phishing e-poruke koje sadrže ZIP arhive kao polaznu tačku za infiltriranje na određene mete koristeći tehnike geofencinga –

Vrijedi napomenuti da je posljednju sekvencu napada istaknuo ukrajinski tim za kompjuterske hitne slučajeve (CERT-UA) u maju 2023. kao dio APT28 kampanje usmjerene protiv vladinih institucija u zemlji.

Ovo otvara mogućnost da bi kampanja “Steal-It” mogla biti i djelo pretnje koju sponzoriše ruska država.

“Prilagođene PowerShell skripte hakera i strateško korištenje LNK datoteka unutar ZIP arhiva naglašava njihovu tehničku stručnost”, rekli su istraživači. “Upornost koja se održava premještanjem datoteka iz fascikle za preuzimanje u fasciklu Startup i njihovim preimenovanjem naglašava posvećenost hakera produženom pristupu.”

Izvor: The Hacker News

Exit mobile version