Новая волна хакерских атак началась 26 февраля – киберпреступники разослали тысячи писем сотням организаций по всему миру с целью кражи NTLM хэшей сотрудников.
Вредоносные письма маскировались под ответы на предыдущие сообщения жертвы. Эта техника называется «перехват переписки». В письмах был вложен уникальный для каждого адресата ZIP-архив, в котором лежали HTML-файлы.
Proofpoint подчеркивает, что злоумышленники доставляли вредоносные архивы, чтобы обойти защиту почтовых клиентов, обновленных после июля 2023 года. Отмечается, что цель атак – именно захват NTLM-хэшей, а не доставка вредоносных программ.
«Доставка вредоносного кода на компьютер жертвы может быть осуществлена миллионом разных способов, однако, все подобные атаки объединяет один и тот же паттерн – на компьютере пользователя должна иметься в наличии незакрытая уязвимость, а сам пользователь должен открыть письмо с вредоносным кодом. Если для второго аспекта хорошего решения пока нет, если не считать курсы повышения компьютерной грамотности, то поиск уязвимостей довольно просто решают программные продукты вроде Efros Defence Operations, в рамках процесса управления уязвимостями», – сказал руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.