Proofpointは脅威アクター「TA577」が新たな手法でNTLM認証情報を窃取する攻撃を実行したと報告した。スレッドハイジャックにZIP圧縮されたHTMLファイルを使ったNTLMv2ハッシュの窃取が確認されている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Proofpointは2024年3月4日(現地時間)、脅威アクター「TA577」がMicrosoftによって提供されている認証プロトコルNTLM(NT LAN Manager)認証情報を窃取する新しいサイバー攻撃を確認したと伝えた。
同社によると、この攻撃ではスレッドハイジャックにZIP圧縮されたHTMLファイルを使うという新しい手段を組み合わせてNTLMv2ハッシュが窃取されたという。
サイバー攻撃の一種に「スレッドハイジャック」と呼ばれる手法がある。この方法は標的に対する返信メールを装って悪意ある電子メールを送信して攻撃を開始するというものだ。今回はこの攻撃にZIP圧縮されていたHTMLファイルが添付されていた点が新たなポイントだとされている。
添付されているZIP圧縮されたHTMLファイルを展開すると、テキストファイルのファイルスキームURIへのリダイレクトを介してSMB(Server Message Block)サーバへの接続が試みられる。この接続先が脅威アクターの管理する外部サーバになっており、接続を試した段階でNTLMv2ハッシュが窃取される手口になっている。Proofpointはこの外部サーバからマルウェア配布が確認できなかったことから、脅威アクターがNTLMv2ハッシュの窃取を目的にしたものではないかと指摘している。
スレッドハイジャック自体は一般的なサイバー攻撃の手法だが、今回のケースでは電子メールに添付されたファイルがZIP圧縮されたHTMLファイルだったという点にある。Proofpointは取り上げた事例以外にもファイルスキームURIを使用して外部のSMBサーバやWebDAVサーバなどのファイル共有サーバに誘導してマルウェア感染させるためのコンテンツにアクセスさせる複数のサイバー攻撃が増加していることを確認したと説明している。
Proofpointは今回のキャンペーンのように外部サーバへのアクセスを悪用してアカウント情報を窃取しようとするサイバー攻撃を防止する方法として、ネットワーク管理者に対して外部のSMBサーバへの接続をブロックするといった対策を推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.