انتشار شده در تاریخ 1402/12/20 - 22:48

آغاز موج جدید حملات ایمیل

یک تهدید سایبری پیچیده، با نام TA577، موج جدیدی از حملات ایمیل را با هدف نفوذ به سیستم‌ها و شبکه‌های رایانه‌ای سازمان‌های متعدد در سطح جهان به راه انداخته است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این عملیات مخفی که به طور دقیق برای سرقت هش های ان تی ال ام (NTLM) طراحی شده است، برای رمزهای عبور رمزگذاری شده برای احراز هویت کاربر در محیط های ویندوز، یک خطر امنیتی جدی ایجاد می کند.

افشاگری‌های اخیر کارشناسان امنیت سایبری پیچیدگی‌های این تهدید را روشن می‌کند و از سازمان‌ها می‌خواهد که فوراً دفاع سایبری خود را تقویت کنند.

روش عملیاتی TA577 شامل استقرار پیوست های ایمیل انفجاری است که به طرز حیله گرانه ای به عنوان پاسخ به مکاتبات قبلی پنهان شده است.

با باز کردن این پیوست‌ها توسط قربانیان، مجموعه‌ای از رویدادها رخ می‌دهد که منجر به تلاش برای اتصال با سرور خارجی بلوک پیام سرور (SMB) می‌شود.

اگرچه این ترفند فاقد بدافزار معمولی است، اما این ترفند به طرز هوشمندانه‌ای جفت‌های چالش و یا پاسخ ورژن دوم ان تی ال ام (NTLMv2) را درخواست می‌کند و استخراج هش‌های ان تی ال ام را با کارایی هشداردهنده ممکن می‌سازد.

پیامدهای سرقت هش ان تی ال ام بسیار فراتر از به خطر افتادن گذرواژه های فردی است.

محققان پروف پوینت (Proofpoint) بر بهره‌برداری بالقوه برای شکستن رمز عبور یا تسهیل حملات پس د هش (Pas-The-Hash) تأکید می‌کنند که امکان حرکت جانبی در محیط‌های در معرض خطر را فراهم می‌کند.

علاوه بر این، اطلاعات دزدیده شده، از جمله نام رایانه، جزئیات دامنه، و نام‌های کاربری، به عوامل مخرب درک جامعی از سازمان‌های هدف می‌دهد و تلاش‌های مخرب بعدی را هدایت می‌کند.

با تمایل TA577 برای انطباق سریع و استقرار تاکتیک های جدید، از سازمان ها خواسته شده که فورا وضعیت امنیت سایبری خود را تقویت کنند.

آزمایشگاه های تشخیص تهدید ورنویس (Varonis Threat Labs) بر ضرورت اقدامات پیشگیرانه تاکید می کند و از ممانعت از اتصالات بلوک پیام سرور خروجی برای خنثی کردن حمله احتمالی حمایت می کند.

علیرغم بیهودگی غیرفعال کردن دسترسی مهمان به بلوک پیام سرور، استراتژی های کاهش پیشگیرانه برای محافظت در برابر تهدیدات سایبری در حال تکامل ضروری هستند.

تاکتیک های نفوذ به کار گرفته شده توسط TA577 بر تکامل مداوم تهدیدات سایبری و اهمیت مکانیسم های دفاعی پیشگیرانه تاکید دارد.

از آنجایی که سازمان ها با تامین امنیت زیرساخت های دیجیتال خود دست و پنجه نرم می کنند، هوشیاری و اقدام پیشگیرانه به عنوان سلاح های ضروری در نبرد مداوم علیه دشمنان سایبری ظاهر می شوند.

با توجه به هشدارهای کارشناسان امنیت سایبری و اجرای پروتکل های امنیتی قوی، نهادها می توانند خطرات ناشی از سرقت هش ان تی ال ام را کاهش داده و از دارایی های دیجیتال ارزشمند خود در برابر سوء استفاده های مخرب محافظت کنند.