هکرهای روسی با سواستفاده از یک آسیبپذیری روز صفر در NTLM، بدافزار Spark RAT را از طریق ایمیلهای فیشینگ با موضوع تمدید گواهیهای آموزشی منتشر میکنند. این حملات عمدتاً اوکراین را هدف قرار دادهاند.
ایمیل های فیشینگ هکر های روس
هکرهای روس با سوءاستفاده از آسیبپذیری جدید NTLM، بدافزار Spark RAT را از طریق ایمیلهای فیشینگ منتشر میکنند. به گزارش زوم تک از The Hacker News، یک آسیبپذیری امنیتی جدید در Windows NT LAN Manager (NTLM) توسط گروهی از هکرها که گمان میرود وابسته به روسیه باشند، به عنوان یک آسیبپذیری روز صفر مورد سوءاستفاده قرار گرفته است. این حملات سایبری عمدتاً اوکراین را هدف قرار دادهاند.
این آسیبپذیری که با شناسه CVE-2024-43451 (با امتیاز CVSS 6.5) شناخته میشود، به عنوان یک آسیبپذیری جعل هویت افشای هش NTLM شناخته میشود که میتواند برای سرقت هش NTLMv2 کاربر مورد سوءاستفاده قرار گیرد. مایکروسافت در اوایل این هفته وصلهای برای این آسیبپذیری منتشر کرد.
مایکروسافت در اطلاعیه خود اعلام کرد: “حتی تعاملات جزئی کاربر با یک فایل مخرب، مانند انتخاب (با یک کلیک)، بررسی (با کلیک راست) یا انجام هرگونه عملی غیر از باز کردن یا اجرای فایل، میتواند این آسیبپذیری را فعال کند.”
شرکت امنیت سایبری ClearSky واقع در اسرائیل که سوءاستفاده از این آسیبپذیری را در ژوئن ۲۰۲۴ کشف کرد، اعلام کرد که این آسیبپذیری به عنوان بخشی از یک زنجیره حمله برای انتشار بدافزار متن باز Spark RAT مورد سوءاستفاده قرار گرفته است.
این شرکت گفت: “این آسیبپذیری فایلهای URL را فعال میکند و منجر به فعالیتهای مخرب میشود.” فایلهای مخرب روی یک سایت دولتی رسمی اوکراین که به کاربران امکان دانلود گواهیهای آموزشی را میدهد، میزبانی میشدند.
زنجیره حمله شامل ارسال ایمیلهای فیشینگ از یک سرور دولتی هک شده اوکراین (“doc.osvita-kp.gov[.]ua”) است که گیرندگان را به تمدید گواهیهای آموزشی خود از طریق کلیک بر روی یک URL مخرب جاسازی شده در پیام تشویق میکند.
این کار منجر به دانلود یک فایل فشرده ZIP حاوی یک فایل میانبر اینترنتی مخرب (.URL) میشود. آسیبپذیری زمانی فعال میشود که قربانی با فایل URL تعامل داشته باشد، مثلاً با کلیک راست، حذف یا کشیدن آن به پوشه دیگر.
فایل URL برای برقراری ارتباط با یک سرور ریموت (“92.42.96[.]30”) و دانلود payload های اضافی، از جمله Spark RAT، طراحی شده است.
ClearSky گفت: “علاوه بر این، اجرای sandbox هشداری درباره تلاش برای انتقال NTLM Hash از طریق پروتکل SMB صادر کرد. پس از دریافت NTLM Hash، مهاجم میتواند حمله Pass-the-Hash را برای شناسایی به عنوان کاربر مرتبط با هش گرفته شده بدون نیاز به رمز عبور مربوطه انجام دهد.”
تیم واکنش به فوریتهای رایانهای اوکراین (CERT-UA) این فعالیت را به یک گروه هکری احتمالاً روسی که با نام UAC-0194 ردیابی میشود، مرتبط دانسته است.
نظرات در مورد : مراقب ایمیل های فیشینگ هکر های روس باشید