Nedavno zakrpljeni sigurnosni propust koji utiče na Windows NT LAN Manager (NTLM) je iskoristio kao nulti dan od strane osumnjičenog hakera povezanog s Rusijom u sklopu cyber napada usmjerenih na Ukrajinu.
Predmetna ranjivost, CVE-2024-43451 (CVSS rezultat: 6,5), odnosi se na ranjivost lažnog otkrivanja NTLM heša koja bi se mogla iskoristiti za krađu korisnikovog NTLMv2 heša. Microsoft ga je zakrpio ranije ove sedmice.
“Minimalna interakcija korisnika sa malicioznom datotekom kao što je odabir (jedan klik), inspekcija (desni klik) ili izvođenje radnje osim otvaranja ili izvršavanja može pokrenuti ovu ranjivost”, otkrio je Microsoft u svom savjetu.
Izraelska kompanija za cyber sigurnost ClearSky, koja je u junu 2024. otkrila eksploataciju greške nultog dana, rekla je da je zloupotrebljena kao dio lanca napada koji isporučuje maliciozni softver otvorenog koda Spark RAT .
“Ranjivost aktivira URL datoteke, što dovodi do malicioznih aktivnosti”, rekla je kompanija, dodajući da su maliciozni fajlovi smješteni na službenoj stranici ukrajinske vlade koja korisnicima omogućava preuzimanje akademskih certifikata.
Lanac napada uključuje slanje phishing e-poruka sa kompromitovanog servera ukrajinske vlade (“doc.osvita-kp.gov[.]ua”) koji poziva primaoce da obnove svoje akademske certifikate klikom na zarobljeni URL koji je ugrađen u poruku.
Ovo dovodi do preuzimanja ZIP arhive koja sadrži malicioznu internetsku prečicu (.URL) datoteku. Ranjivost se pokreće kada žrtva stupi u interakciju s URL datotekom desnim klikom, brisanjem ili prevlačenjem u drugu mapu.
URL datoteka je dizajnirana da uspostavi veze sa udaljenim serverom (“92.42.96[.]30”) za preuzimanje dodatnih korisnih podataka, uključujući Spark RAT.
„Pored toga, izvršenje sandbox-a pokrenulo je upozorenje o pokušaju prolaska NTLM (NT LAN Manager) heša kroz SMB (Server Message Block) protokol“, rekao je ClearSky. “Nakon što primi NTLM Hash, napadač može izvršiti napad Pass-the-Hash kako bi se identificirao kao korisnik povezan sa uhvaćenim hashom bez potrebe za odgovarajućom lozinkom.”
Ukrajinski tim za kompjuterske hitne slučajeve (CERT-UA) povezao je tu aktivnost sa mogućim ruskim hakerom kojeg prati kao UAC-0194.
Proteklih sedmica agencija je također upozorila da se phishing e-mailovi koji nose mamce vezane za poreze koriste za propagiranje legitimnog softvera za udaljenu radnu površinu pod nazivom LiteManager, opisujući kampanju napada kao finansijski motiviranu i poduzetu od strane pretnje pod nazivom UAC-0050.
“Računovodje preduzeća čiji računari rade sa sistemima za daljinsko bankarstvo nalaze se u posebnoj zoni rizika”, upozorio je CERT-UA . “U nekim slučajevima, kako svjedoče rezultati kompjuterske forenzičke istrage, može proći najviše sat vremena od trenutka inicijalnog napada do trenutka krađe sredstava.
Izvor:The Hacker News
