Chiến dịch tấn công email toàn cầu nhắm vào việc đánh cắp NTLM Hash, gây ra rủi ro an ninh nghiêm trọng cho tài sản kỹ thuật số

Một chiến dịch tấn công email toàn cầu mới đã được phát động bởi một hoạt động đe dọa mạng tinh vi được xác định là TA577, nhắm mục tiêu vào các tổ chức trên toàn thế giới. Cuộc tấn công tiên tiến này đặc biệt nhằm đánh cắp các hàm băm NTLM – các thông tin xác thực được mã hóa rất quan trọng cho xác minh trong các môi trường Windows. Mức độ nghiêm trọng của mối đe dọa an ninh này đã khiến các chuyên gia an ninh mạng phát hành phân tích chi tiết, kêu gọi các tổ chức thực hiện ngay các biện pháp bảo vệ cho cơ sở hạ tầng kỹ thuật số và tài sản nhạy cảm của họ.

Phương pháp tấn công email nâng cao được tiết lộ

Vector tấn công của TA577 dựa vào các tệp đính kèm email được chế tác một cách chiến lược, ngụy trang như là các phản hồi cho những thư từ đã có trước đó. Khi những nạn nhân không nghi ngờ mở những tệp đính kèm này, một chuỗi các quy trình kỹ thuật được khởi động, cố gắng thiết lập kết nối với các máy chủ Server Message Block (SMB) bên ngoài. Mặc dù những tệp đính kèm này không chứa các mã độc truyền thống, nhưng chúng hiệu quả trong việc yêu cầu các cặp thách thức/phản hồi NTLMv2, cho phép kẻ tấn công thu thập các Hàm băm NTLM với hiệu suất đáng kể.

Các hệ quả của việc đánh cắp hàm băm NTLM mở rộng đáng kể ra ngoài việc làm lộ thông tin đăng nhập cá nhân. Các nhà nghiên cứu an ninh mạng tại Proofpoint nhấn mạnh cách mà những hàm băm bị đánh cắp này có thể được khai thác cho các hoạt động bẻ khóa mật khẩu hoặc tạo điều kiện cho các cuộc tấn công "Pass-The-Hash" tinh vi, cho phép di chuyển ngang qua các mạng đã bị xâm phạm. Ngoài ra, thông tin thu thập được – bao gồm tên máy tính, chi tiết miền và tên người dùng – cung cấp cho kẻ tấn công thông tin toàn diện về các tổ chức mục tiêu, từ đó thông báo cho các chiến dịch tấn công tiếp theo nhằm vào cơ sở hạ tầng quan trọng và tài sản kỹ thuật số.

Khuyến nghị Bảo mật Quan trọng cho Bảo vệ Tài sản Kỹ thuật số

Với khả năng thích ứng nhanh chóng về chiến thuật và triển khai các kỹ thuật tấn công đổi mới của TA577, các tổ chức phải củng cố tư thế an ninh mạng ngay lập tức. Varonis Threat Labs nhấn mạnh tầm quan trọng của các chiến lược phòng thủ chủ động, đặc biệt khuyến nghị chặn các kết nối SMB ra ngoài để ngăn chặn các nguy cơ tiềm ẩn. Trong khi việc đơn giản là vô hiệu hóa quyền truy cập của khách vào SMB không có hiệu quả trước mối đe dọa này, việc thực hiện các giao thức an ninh toàn diện vẫn là điều cần thiết để bảo vệ trước các mối đe dọa mạng đang phát triển.

Kỹ thuật xâm nhập tinh vi mà TA577 sử dụng làm nổi bật sự tiến hóa liên tục của các mối đe dọa mạng nhằm vào cả mạng lưới doanh nghiệp và hạ tầng tài sản kỹ thuật số có thể kết nối. Khi các tổ chức làm việc để bảo vệ hệ sinh thái kỹ thuật số của họ, việc duy trì sự cảnh giác và thực hiện các biện pháp bảo mật chủ động là những thành phần quan trọng trong việc phòng thủ chống lại các tác nhân đe dọa tinh vi. Bằng cách tuân theo các khuyến nghị của chuyên gia an ninh và triển khai các khung bảo vệ mạnh mẽ, các tổ chức có thể giảm thiểu đáng kể các rủi ro liên quan đến việc đánh cắp hàm băm NTLM và bảo vệ các tài sản kỹ thuật số quý giá khỏi sự truy cập và khai thác trái phép.

Đối với người dùng các nền tảng tài sản kỹ thuật số và sàn giao dịch tiền điện tử, mối đe dọa này nhấn mạnh tầm quan trọng của việc triển khai các phương pháp bảo mật email toàn diện và duy trì các cơ chế xác minh mạnh mẽ để ngăn chặn khả năng bị xâm phạm thông tin đăng nhập có thể dẫn đến việc truy cập trái phép vào các tài khoản tài chính và ví kỹ thuật số.