TA577: Már az NTLM hitelesítési információk sincsennek biztonságban

A Proofpoint TA577 néven egy új kiberbűnözői csoportot azonosított, ami egy új támadási láncot használt egy eleddig szokatlan cél érdekében: az NT LAN Manager (NTLM) hitelesítési információk ellopására. Ez a tevékenység érzékeny információk gyűjtésére és a további káros tevékenységek végrehajtására használható.

A Proofpoint legalább két olyan kampányt azonosított, amelyek ugyanazt a technikát használják az NTLM hash-ek ellopására 2024. február 26-án és 27-én. A kampányok több tízezer üzenetet tartalmaztak, amelyek több száz szervezetet céloztak meg világszerte. Az üzenetek korábbi e-mailekre adott válaszokként jelentek meg, úgynevezett száleltérítésként, és zippelt HTML-mellékleteket tartalmaztak.

(forrás)