Le groupe TA577, connu pour son implication dans le ransomware Black Basta, a récemment lancé deux vagues d’attaques par phishing ciblant les hachages NTLM des employés. Ces attaques ont été repérées par la société Proofpoint, spécialisée dans la sécurité des courriers électroniques.
Utilisée pour l’authentification Windows, notamment lorsque Kerberos ne peut pas servir, l’authentification NTLM est vulnérable à différentes attaques.
Ces hachages peuvent être utilisés pour cracker les mots de passe, accéder à des informations sensibles et se déplacer latéralement dans un réseau compromis.
La nouvelle campagne a commencé par des courriels de phishing qui semblent être des réponses à la discussion précédente d’une cible, une technique connue sous le nom de « thread hijacking » (détournement de discussion).
Les courriels joignent des archives ZIP uniques (par victime) contenant des fichiers HTML qui utilisent les balises META refresh HTML pour déclencher une connexion automatique à un fichier texte sur un serveur externe Server Message Block (SMB).
Lorsque l’appareil Windows se connecte au serveur, il tente automatiquement d’effectuer un défi-réponse NTLMv2, ce qui permet au serveur contrôlé par l’attaquant distant de voler les hachages d’authentification NTLM.
« Il est à noter que TA577 a livré le code HTML malveillant dans une archive ZIP afin de générer un fichier local sur l’hôte », peut-on lire dans le rapport de Proofpoint.
Proofpoint précise que ces URL n’ont pas livré de charges utiles de logiciels malveillants et que leur objectif principal semble donc être de capturer les hachages NTLM.
Le rapport mentionne également des artefacts spécifiques présents sur les serveurs SMB qui sont généralement non standard, tels que la boîte à outils open source Impacket, ce qui est une indication que ces serveurs sont utilisés dans des attaques de phishing.
Le compte X.com de l’ancien avocat Brian in Pittsburgh, professionnel de la cybersécurité, note que pour que les acteurs de la menace puissent utiliser ces hashs volés pour pénétrer dans les réseaux, l’authentification multifactorielle doit être désactivée sur les comptes.
Will Dormann, chercheur en vulnérabilité, suggère qu’il est possible que les hashs ne soient pas volés pour pénétrer dans les réseaux, mais plutôt comme une forme de reconnaissance pour trouver des cibles de valeur.
« J’imagine que la combinaison du nom de domaine, du nom d’utilisateur et du nom d’hôte pourrait permettre de trouver des cibles intéressantes ».
En d’autres termes, quel est l’intérêt du vol de hashs NTLM?
Le groupe de pirates connu sous le nom de TA577 a récemment changé de tactique en utilisant des courriels d’hameçonnage pour voler des hachages d’authentification NT LAN Manager (NTLM) afin d’effectuer des détournements de compte.
TA577 est considéré comme un courtier d’accès initial (IAB), précédemment associé à Qbot et lié aux infections par le ransomware Black Basta.
Des campagnes TA577 distinctes, lancées les 26 et 27 février 2024, ont diffusé des milliers de messages à des centaines d’organisations dans le monde entier, en ciblant les hachages NTLM des employés.
Les hachages NTLM sont utilisés dans Windows pour l’authentification et la sécurité des sessions et peuvent être capturés pour le craquage de mots de passe hors ligne afin d’obtenir le mot de passe en clair.
En outre, ils peuvent être utilisés dans des attaques de type « pass-the-hash » qui n’impliquent pas de craquage du tout, où les attaquants utilisent le hachage tel quel pour s’authentifier auprès d’un serveur ou d’un service distant.
Les hachages volés peuvent, dans certaines circonstances et en fonction des mesures de sécurité en place, permettre aux attaquants d’accroître leurs privilèges, de détourner des comptes, d’accéder à des informations sensibles, d’échapper aux produits de sécurité et de se déplacer latéralement au sein d’un réseau ayant fait l’objet d’une violation.
Proofpoint indique que la restriction de l’accès des invités aux serveurs SMB ne suffit pas à atténuer l’attaque TA577, car elle s’appuie sur l’authentification automatique du serveur externe qui contourne le besoin d’accès des invités.
Une mesure potentiellement efficace consisterait à configurer un pare-feu pour bloquer toutes les connexions SMB sortantes (généralement les ports 445 et 139), ce qui empêcherait l’envoi des hachages NTLM.
Une autre mesure de protection consisterait à mettre en place un filtrage des courriels qui bloque les messages contenant des fichiers HTML zippés, car ceux-ci peuvent déclencher des connexions à des points d’extrémité non sûrs lors de leur lancement.
Il est également possible de configurer « Sécurité réseau : Restreindre NTLM : trafic NTLM sortant vers des serveurs distants » pour empêcher l’envoi de hachages NTLM. Toutefois, cela peut entraîner des problèmes d’authentification contre des serveurs légitimes.
Pour les organisations utilisant Windows 11, Microsoft a introduit une fonction de sécurité supplémentaire afin de bloquer les attaques basées sur NTLM sur les SMB, ce qui serait une solution efficace.
Source : Bleeping Computer, Proofpoint
