Tin tặc đánh cắp băm NTLMv2 bằng cách sử dụng tập lệnh Powershell tùy chỉnh

Một chiến dịch đánh cắp tinh vi mới có tên “Steal-It” đã được phát hiện có khả năng lọc các mã băm NTLMv2 bằng cách sử dụng các phiên bản tùy chỉnh của tập lệnh PowerShell Start-CaptureServer của Nishang.

Sep 10, 2023 - 00:21
 70
Tin tặc đánh cắp băm NTLMv2 bằng cách sử dụng tập lệnh Powershell tùy chỉnh

Người ta tin rằng chiến dịch Steal-It có thể được cho là do APT28 (hay còn gọi là Fancy Bear) thực hiện dựa trên những điểm tương đồng của nó với cuộc tấn công mạng APT28.

Fancy Bear là một nhóm gián điệp mạng của Nga sử dụng các phương pháp khai thác zero-day, lừa đảo trực tuyến và phần mềm độc hại để xâm phạm các mục tiêu.

Zscaler Threat Labs gần đây đã phát hiện ra chiến thuật và chuỗi lây nhiễm của chiến dịch này và chia sẻ báo cáo của mình.

Chuỗi lây nhiễm đánh cắp băm NTLMv2

Chuỗi lây nhiễm đánh cắp hàm băm NTLMv2 đánh cắp các hàm băm NTLMv2 bằng cách sử dụng tập lệnh PowerShell Start-CaptureServer tùy chỉnh của Nishang và truyền các hàm băm bị đánh cắp thông qua các API mô phỏng tới Mockbin.

Chuỗi lây nhiễm đánh cắp SystemInfo

Chuỗi lây nhiễm đánh cắp Systeminfo sử dụng thương hiệu OnlyFans để lôi kéo người dùng tải xuống các giai đoạn sau của chuỗi, sau đó lọc các đầu ra lệnh tới Mockbin.

Chuỗi lây nhiễm Whoami Exfil của Fanly

Chuỗi lây nhiễm fansly whoami exfil sử dụng thương hiệu Fanly để lôi kéo người dùng tải xuống các giai đoạn sau của chuỗi, chuỗi này sẽ lọc các đầu ra lệnh tới Mockbin. 

Chuỗi lây nhiễm Exfil của Windows Update

Kho lưu trữ ZIP đi kèm với tệp LNK sử dụng kỹ thuật khoanh vùng địa lý để nhắm mục tiêu vào người dùng ở Bỉ đã vô tình tải xuống nhiều giai đoạn của tập lệnh PowerShell để thực thi các lệnh hệ thống nhằm thu thập thông tin cơ bản cho các mục đích bất chính. 

Trong số tất cả các chuỗi lây nhiễm, kẻ tấn công đã sử dụng các tập lệnh tùy chỉnh từ hệ thống Nishang để đánh cắp và lấy cắp các mã băm NTLM bằng cách thực thi các lệnh hệ thống.

Cuối cùng, các API giả được sử dụng để lọc dữ liệu đã thu được từ thiết bị bị xâm nhập.

Hình ảnh khiêu dâm của các người mẫu được sử dụng để lôi kéo nạn nhân thực hiện tải trọng ban đầu trong chuỗi lây nhiễm The fansly Whoami Exfil và Exfil Sysinfo OnlyFans.

Các tác nhân đe dọa sử dụng chiến lược khoanh vùng địa lý nhắm mục tiêu cụ thể vào các khu vực bao gồm Úc, Ba Lan và Bỉ. 

API Mockbin, một công cụ tạo điểm cuối và các API giả được sử dụng để truyền dữ liệu bị đánh cắp, chẳng hạn như hàm băm NTLM và đầu ra lệnh.

Cảm xúc của bạn?

like

dislike

love

funny

angry

sad

wow

Chung Đinh QTV: Cộng đồng Quản Trị & Bảo Mật Hệ Thống. Mình sẽ luôn cố gắng phát triển cộng đồng theo tinh thần học hỏi và chia sẻ.