Tin tặc Nga khai thác lỗ hổng NTLM mới để triển khai phần mềm độc hại RAT qua email lừa đảo

www.tuoitre.vn -   18/11/2024 08:00:00 54

Một lỗ hổng bảo mật mới được vá ảnh hưởng đến Windows NT LAN Manager (NTLM) đã bị khai thác như một lỗ hổng zero-day bởi một tác nhân bị nghi ngờ có liên quan đến Nga như một phần của các cuộc tấn công mạng nhắm vào Ukraine.

 Tin tặc Nga khai thác lỗ hổng NTLM mới để triển khai phần mềm độc hại RAT qua email lừa đảo

Lỗ hổng đang được đề cập, CVE-2024-43451 (điểm CVSS: 6,5), đề cập đến lỗ hổng giả mạo tiết lộ băm NTLM có thể bị khai thác để đánh cắp băm NTLMv2 của người dùng. Microsoft đã vá lỗ hổng này vào đầu tuần này.

"Tương tác tối thiểu với tệp độc hại của người dùng như chọn (nhấp một lần), kiểm tra (nhấp chuột phải) hoặc thực hiện hành động nào khác ngoài mở hoặc thực thi có thể kích hoạt lỗ hổng này", Microsoft tiết lộ trong thông báo của mình.

Công ty an ninh mạng đã phát hiện ra lỗ hổng zero-day này vào tháng 6 năm 2024, cho biết lỗ hổng đã bị lợi dụng như một phần của chuỗi tấn công cung cấp phần mềm độc hại Spark RAT nguồn mở.

"Lỗ hổng này kích hoạt các tệp URL, dẫn đến hoạt động độc hại", công ty cho biết thêm rằng các tệp độc hại được lưu trữ trên một trang web chính thức của chính phủ Ukraine cho phép người dùng tải xuống các chứng chỉ học thuật.

Chuỗi tấn công bao gồm việc gửi email lừa đảo từ máy chủ của chính phủ Ukraine bị xâm phạm ("doc.osvita-kp.gov[.]ua") nhắc nhở người nhận gia hạn chứng chỉ học thuật của họ bằng cách nhấp vào URL có bẫy được nhúng trong tin nhắn.

Điều này dẫn đến việc tải xuống tệp ZIP chứa tệp phím tắt internet độc hại (.URL). Lỗ hổng được kích hoạt khi nạn nhân tương tác với tệp URL bằng cách nhấp chuột phải, xóa hoặc kéo tệp đó vào thư mục khác.

Tệp URL được thiết kế để thiết lập kết nối với máy chủ từ xa ("92.42.96[.]30") để tải xuống các tải trọng bổ sung, bao gồm Spark RAT.

"Ngoài ra, một lần thực thi hộp cát đã đưa ra cảnh báo về nỗ lực truyền Băm NTLM (NT LAN Manager) qua giao thức SMB (Khối tin nhắn máy chủ)", ClearSky cho biết. "Sau khi nhận được Băm NTLM, kẻ tấn công có thể thực hiện cuộc tấn công Truyền Băm để xác định người dùng được liên kết với băm đã thu thập mà không cần mật khẩu tương ứng".

 Đội ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã liên kết hoạt động này với một tác nhân đe dọa có khả năng là người Nga mà họ theo dõi là UAC-0194.

Trong những tuần gần đây, cơ quan này cũng đã cảnh báo rằng các email lừa đảo có chứa các mồi nhử liên quan đến thuế đang được sử dụng để phát tán một phần mềm máy tính từ xa hợp pháp có tên là LiteManager, mô tả chiến dịch tấn công này là có động cơ tài chính và được thực hiện bởi một tác nhân đe dọa có tên là UAC-0050.

"Các kế toán viên của các doanh nghiệp có máy tính làm việc với các hệ thống ngân hàng từ xa nằm trong vùng rủi ro đặc biệt", CERT-UA cảnh báo. "Trong một số trường hợp, như bằng chứng là kết quả của các cuộc điều tra pháp y máy tính, có thể mất không quá một giờ từ thời điểm tấn công ban đầu đến thời điểm đánh cắp tiền".

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Sự phát triển của AI trong các vụ lừa đả...

17/01/2025 08:00:00 3
Sự phát triển vượt bậc của AI không chỉ tác động đến nhiều ngành công nghiệp mà còn thay đổi chiến t...

Làn sóng tấn công an ninh mạng mới: AI b...

14/01/2025 08:00:00 5
Sự phát triển vượt bậc của trí tuệ nhân tạo (AI) đã cách mạng hóa mọi khía cạnh cuộc sống, từ mua sắ...

Các sản phẩm của Kaspersky dẫn đầu về hi...

07/01/2025 08:00:00 4
Kaspersky tiếp tục thiết lập chuẩn mực mới về hiệu suất, khẳng định vị thế dẫn đầu trong lĩnh vực an...

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 151
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 131
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 385
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button