Tin tặc Nga khai thác lỗ hổng NTLM mới để triển khai phần mềm độc hại RAT qua email lừa đảo

Một lỗ hổng bảo mật mới được vá ảnh hưởng đến Windows NT LAN Manager (NTLM) đã bị khai thác như một lỗ hổng zero-day bởi một tác nhân bị nghi ngờ có liên quan đến Nga như một phần của các cuộc tấn công mạng nhắm vào Ukraine.

Lỗ hổng đang được đề cập, CVE-2024-43451 (điểm CVSS: 6,5), đề cập đến lỗ hổng giả mạo tiết lộ băm NTLM có thể bị khai thác để đánh cắp băm NTLMv2 của người dùng. Microsoft đã vá lỗ hổng này vào đầu tuần này.

"Tương tác tối thiểu với tệp độc hại của người dùng như chọn (nhấp một lần), kiểm tra (nhấp chuột phải) hoặc thực hiện hành động nào khác ngoài mở hoặc thực thi có thể kích hoạt lỗ hổng này", Microsoft tiết lộ trong thông báo của mình.

Công ty an ninh mạng đã phát hiện ra lỗ hổng zero-day này vào tháng 6 năm 2024, cho biết lỗ hổng đã bị lợi dụng như một phần của chuỗi tấn công cung cấp phần mềm độc hại Spark RAT nguồn mở.

"Lỗ hổng này kích hoạt các tệp URL, dẫn đến hoạt động độc hại", công ty cho biết thêm rằng các tệp độc hại được lưu trữ trên một trang web chính thức của chính phủ Ukraine cho phép người dùng tải xuống các chứng chỉ học thuật.

Chuỗi tấn công bao gồm việc gửi email lừa đảo từ máy chủ của chính phủ Ukraine bị xâm phạm ("doc.osvita-kp.gov[.]ua") nhắc nhở người nhận gia hạn chứng chỉ học thuật của họ bằng cách nhấp vào URL có bẫy được nhúng trong tin nhắn.

Điều này dẫn đến việc tải xuống tệp ZIP chứa tệp phím tắt internet độc hại (.URL). Lỗ hổng được kích hoạt khi nạn nhân tương tác với tệp URL bằng cách nhấp chuột phải, xóa hoặc kéo tệp đó vào thư mục khác.

Tệp URL được thiết kế để thiết lập kết nối với máy chủ từ xa ("92.42.96[.]30") để tải xuống các tải trọng bổ sung, bao gồm Spark RAT.

"Ngoài ra, một lần thực thi hộp cát đã đưa ra cảnh báo về nỗ lực truyền Băm NTLM (NT LAN Manager) qua giao thức SMB (Khối tin nhắn máy chủ)", ClearSky cho biết. "Sau khi nhận được Băm NTLM, kẻ tấn công có thể thực hiện cuộc tấn công Truyền Băm để xác định người dùng được liên kết với băm đã thu thập mà không cần mật khẩu tương ứng".

 Đội ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã liên kết hoạt động này với một tác nhân đe dọa có khả năng là người Nga mà họ theo dõi là UAC-0194.

Trong những tuần gần đây, cơ quan này cũng đã cảnh báo rằng các email lừa đảo có chứa các mồi nhử liên quan đến thuế đang được sử dụng để phát tán một phần mềm máy tính từ xa hợp pháp có tên là LiteManager, mô tả chiến dịch tấn công này là có động cơ tài chính và được thực hiện bởi một tác nhân đe dọa có tên là UAC-0050.

"Các kế toán viên của các doanh nghiệp có máy tính làm việc với các hệ thống ngân hàng từ xa nằm trong vùng rủi ro đặc biệt", CERT-UA cảnh báo. "Trong một số trường hợp, như bằng chứng là kết quả của các cuộc điều tra pháp y máy tính, có thể mất không quá một giờ từ thời điểm tấn công ban đầu đến thời điểm đánh cắp tiền".

Hương – Theo TheHackerNews