Redazione RHC : 5 Marzo 2024 08:09
Il gruppo noto come TA577, identificato come un initial access broker (IAB) e precedentemente associato a Qbot e al ransomware Black Basta, ha recentemente modificato le sue tattiche operative. Sebbene in passato TA577 abbia mostrato una preferenza per l’implementazione di Pikabot, due recenti ondate di attacco hanno rivelato una strategia diversa.
Secondo i report di Proofpoint, il gruppo ha adottato il phishing via email come metodo per rubare gli hash di autenticazione di NT LAN Manager (NTLM), al fine di compromettere gli account. Queste campagne hanno coinvolto migliaia di messaggi inviati a centinaia di organizzazioni in tutto il mondo, mirando agli hash NTLM dei dipendenti.
Gli hash rubati possono, in determinate circostanze e a seconda delle misure di sicurezza in atto, consentire agli aggressori di aumentare i propri privilegi, dirottare account, accedere a informazioni sensibili, eludere prodotti di sicurezza e spostarsi lateralmente all’interno di una rete violata.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La campagna di phishing è stata avviata attraverso email che simulano risposte a discussioni precedenti, utilizzando una tecnica nota come thread hijacking. Queste email contenevano allegati ZIP personalizzati (per ciascuna vittima), all’interno dei quali erano presenti file HTML.
Tali file HTML sfruttavano tag HTML di aggiornamento META per avviare automaticamente una connessione a un file di testo situato su un server SMB esterno (Server Message Block).
Una volta che il dispositivo Windows si connetteva a questo server, veniva avviata automaticamente una richiesta NTLMv2, consentendo al server controllato dall’attaccante di acquisire gli hash di autenticazione NTLM.
Proofpoint ha constatato che questi URL non veicolano alcun payload di malware, evidenziando che il loro scopo principale sembra essere l’acquisizione degli hash NTLM. Inoltre, ha notato la presenza di artefatti specifici sui server delle PMI, come il toolkit open source Impacket, suggerendo che tali server siano stati coinvolti negli attacchi di phishing.
Recentemente Manuel Roccon del gruppo di HackerHood, ha effettuato una analisi in ottica NTLM relativa allo sfruttamento del CVE 2024-21413 (Moniker Link).
RedazioneGoogle sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...
Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...
Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...
Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...
“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
