NTLM認証情報を狙う新たなスレッドハイジャック攻撃を確認 具体的な対策は?:セキュリティニュースアラート
Proofpointは脅威アクター「TA577」が新たな手法でNTLM認証情報を窃取する攻撃を実行したと報告した。スレッドハイジャックにZIP圧縮されたHTMLファイルを使ったNTLMv2ハッシュの窃取が確認されている。
Proofpointは2024年3月4日(現地時間)、脅威アクター「TA577」がMicrosoftによって提供されている認証プロトコルNTLM(NT LAN Manager)認証情報を窃取する新しいサイバー攻撃を確認したと伝えた。
NTLM認証情報窃取を目的とした新しいスレッドハイジャック攻撃の詳細
同社によると、この攻撃ではスレッドハイジャックにZIP圧縮されたHTMLファイルを使うという新しい手段を組み合わせてNTLMv2ハッシュが窃取されたという。
サイバー攻撃の一種に「スレッドハイジャック」と呼ばれる手法がある。この方法は標的に対する返信メールを装って悪意ある電子メールを送信して攻撃を開始するというものだ。今回はこの攻撃にZIP圧縮されていたHTMLファイルが添付されていた点が新たなポイントだとされている。
添付されているZIP圧縮されたHTMLファイルを展開すると、テキストファイルのファイルスキームURIへのリダイレクトを介してSMB(Server Message Block)サーバへの接続が試みられる。この接続先が脅威アクターの管理する外部サーバになっており、接続を試した段階でNTLMv2ハッシュが窃取される手口になっている。Proofpointはこの外部サーバからマルウェア配布が確認できなかったことから、脅威アクターがNTLMv2ハッシュの窃取を目的にしたものではないかと指摘している。
スレッドハイジャック自体は一般的なサイバー攻撃の手法だが、今回のケースでは電子メールに添付されたファイルがZIP圧縮されたHTMLファイルだったという点にある。Proofpointは取り上げた事例以外にもファイルスキームURIを使用して外部のSMBサーバやWebDAVサーバなどのファイル共有サーバに誘導してマルウェア感染させるためのコンテンツにアクセスさせる複数のサイバー攻撃が増加していることを確認したと説明している。
Proofpointは今回のキャンペーンのように外部サーバへのアクセスを悪用してアカウント情報を窃取しようとするサイバー攻撃を防止する方法として、ネットワーク管理者に対して外部のSMBサーバへの接続をブロックするといった対策を推奨している。
関連記事
- 「情報セキュリティ10大脅威、ここだけは読んで」“推しポイント”を独断と偏見で解説
IPAから「情報セキュリティ10大脅威 2024」に関連した解説資料が公開されました。セキュリティ担当者必須の書とはいえ、「業務が忙しくてまだ読めていない」という方もいるかもしれません。そこで今回は筆者の“推しポイント”を紹介します。 - 「情報セキュリティ10大脅威 2024」の追加資料をIPAが公開
IPAは、情報セキュリティ10大脅威 2024に関連した3つの解説書を追加公開した。脅威の詳細と具体的な対策、ドキュメントの活用法などがまとめられている。 - CTOが恐れる“ランサムウェアより危ない脅威” 調査から判明
コンサルティング企業STX Nextの調査結果「The Global CTO Survey 2023」によると、CTOの多くがランサムウェアより“あるサイバー脅威”を懸念していることが明らかになった。 - 上野 宣氏が力説する“ペネトレーションテストの意義” 内製する際の注意事項
上野 宣氏が、エンドポイントセキュリティ対策の勘所やペネトレーションテストの意義、ペネトレーションテストを内製するかどうかを考える際に重要なポイントを語った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.