Redazione RHC : 5 Marzo 2024 08:09
Il gruppo noto come TA577, identificato come un initial access broker (IAB) e precedentemente associato a Qbot e al ransomware Black Basta, ha recentemente modificato le sue tattiche operative. Sebbene in passato TA577 abbia mostrato una preferenza per l’implementazione di Pikabot, due recenti ondate di attacco hanno rivelato una strategia diversa.
Secondo i report di Proofpoint, il gruppo ha adottato il phishing via email come metodo per rubare gli hash di autenticazione di NT LAN Manager (NTLM), al fine di compromettere gli account. Queste campagne hanno coinvolto migliaia di messaggi inviati a centinaia di organizzazioni in tutto il mondo, mirando agli hash NTLM dei dipendenti.
Gli hash rubati possono, in determinate circostanze e a seconda delle misure di sicurezza in atto, consentire agli aggressori di aumentare i propri privilegi, dirottare account, accedere a informazioni sensibili, eludere prodotti di sicurezza e spostarsi lateralmente all’interno di una rete violata.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
La campagna di phishing è stata avviata attraverso email che simulano risposte a discussioni precedenti, utilizzando una tecnica nota come thread hijacking. Queste email contenevano allegati ZIP personalizzati (per ciascuna vittima), all’interno dei quali erano presenti file HTML.
Tali file HTML sfruttavano tag HTML di aggiornamento META per avviare automaticamente una connessione a un file di testo situato su un server SMB esterno (Server Message Block).
Una volta che il dispositivo Windows si connetteva a questo server, veniva avviata automaticamente una richiesta NTLMv2, consentendo al server controllato dall’attaccante di acquisire gli hash di autenticazione NTLM.
Proofpoint ha constatato che questi URL non veicolano alcun payload di malware, evidenziando che il loro scopo principale sembra essere l’acquisizione degli hash NTLM. Inoltre, ha notato la presenza di artefatti specifici sui server delle PMI, come il toolkit open source Impacket, suggerendo che tali server siano stati coinvolti negli attacchi di phishing.
Recentemente Manuel Roccon del gruppo di HackerHood, ha effettuato una analisi in ottica NTLM relativa allo sfruttamento del CVE 2024-21413 (Moniker Link).
RedazioneUn ricercatore esperto in sicurezza informatica ha scoperto che centinaia di server TeslaMate in tutto il mondo trasmettono apertamente i dati dei veicoli Tesla senza alcuna protezione. Ciò signi...
Il 23 luglio 2025, Tesla tenne la sua conference call sui risultati del secondo trimestre. Elon Musk , come di consueto, trasmise a Wall Street il suo contagioso ottimismo. Parlando di Dojo, il superc...
Microsoft rimuoverà PowerShell 2.0 da Windows a partire da agosto, anni dopo averne annunciato la dismissione e averlo mantenuto come funzionalità opzionale. Il processore dei comandi vecchi...
Sviluppare agenti di intelligenza artificiale in grado di individuare vulnerabilità in sistemi complessi è ancora un compito impegnativo che richiede molto lavoro manuale. Tuttavia, tali age...
L’azienda cinese Kaiwa Technology, con sede a Guangzhou, ha annunciato l’intenzione di creare il primo “utero robotico” al mondo entro il 2026: una macchina umanoide con un...
