Russische hackers misbruiken nieuwe NTLM-fout om RAT-malware te implementeren via phishing-e-mails

Een nieuw gepatchte beveiligingsfout die gevolgen had voor Windows NT LAN Manager (NTLM) werd als zero-day uitgebuit door een vermoedelijk aan Rusland gelieerde actor als onderdeel van cyberaanvallen gericht op Oekraïne.

De kwetsbaarheid in kwestie, CVE-2024-43451 (CVSS-score: 6,5), verwijst naar een spoofing-kwetsbaarheid voor het onthullen van NTLM-hash die kan worden misbruikt om de NTLMv2-hash van een gebruiker te stelen. Het werd eerder deze week door Microsoft gepatcht.

“Minimale interactie met een kwaadaardig bestand door een gebruiker, zoals het selecteren (enkele klikken), inspecteren (met de rechtermuisknop klikken) of het uitvoeren van een andere actie dan openen of uitvoeren, kan dit beveiligingslek veroorzaken”, onthulde Microsoft in zijn advies.

Het Israëlische cyberbeveiligingsbedrijf ClearSky, dat de zero-day-exploitatie van de fout in juni 2024 ontdekte, zei dat deze is misbruikt als onderdeel van een aanvalsketen die de open-source Spark RAT-malware levert.

“De kwetsbaarheid activeert URL-bestanden, wat leidt tot kwaadaardige activiteiten”, aldus het bedrijf, eraan toevoegend dat de kwaadaardige bestanden werden gehost op een officiële site van de Oekraïense overheid waar gebruikers academische certificaten kunnen downloaden.

De aanvalsketen omvat het verzenden van phishing-e-mails vanaf een gecompromitteerde Oekraïense overheidsserver (“doc.osvita-kp.gov(.)ua”), waarin ontvangers worden gevraagd hun academische certificaten te vernieuwen door op een boobytrap-URL te klikken die in het bericht is ingesloten.

Dit leidt tot het downloaden van een ZIP-archief met daarin een kwaadaardig internetsnelkoppelingsbestand (.URL). Het beveiligingslek wordt geactiveerd wanneer het slachtoffer interactie heeft met het URL-bestand door er met de rechtermuisknop op te klikken, het te verwijderen of het naar een andere map te slepen.

RAT-malware

Het URL-bestand is ontworpen om verbindingen tot stand te brengen met een externe server (“92.42.96(.)30”) om extra payloads te downloaden, waaronder Spark RAT.

“Bovendien veroorzaakte een sandbox-uitvoering een waarschuwing over een poging om de NTLM (NT LAN Manager) Hash door te geven via het SMB-protocol (Server Message Block), ” zei ClearSky. “Na ontvangst van de NTLM-hash kan een aanvaller een Pass-the-Hash-aanval uitvoeren om zich te identificeren als de gebruiker die aan de vastgelegde hash is gekoppeld, zonder dat hij het bijbehorende wachtwoord nodig heeft.”

Het Computer Emergency Response Team van Oekraïne (CERT-UA) heeft de activiteit gekoppeld aan een waarschijnlijke Russische bedreigingsacteur die het volgt als UAC-0194.

De afgelopen weken heeft het bureau ook gewaarschuwd dat phishing-e-mails met belastinggerelateerde lokmiddelen worden gebruikt om legitieme externe desktopsoftware met de naam LiteManager te verspreiden, waarbij de aanvalscampagne wordt beschreven als financieel gemotiveerd en uitgevoerd door een bedreigingsacteur genaamd UAC-0050.

“Accountants van bedrijven waarvan de computers werken met systemen voor bankieren op afstand bevinden zich in een speciale risicozone”, waarschuwde CERT-UA. “In sommige gevallen, zoals blijkt uit de resultaten van forensisch computeronderzoek, kan het niet meer dan een uur duren vanaf het moment van de eerste aanval tot het moment van de diefstal van geld.”

Thijs Van der Does