Russische Hacker nutzen NTLM-Schwachstelle für Cyberangriffe auf die Ukraine

KIEW / MÜNCHEN (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke im Windows NT LAN Manager (NTLM) wurde von einem mutmaßlich russischen Akteur als Zero-Day-Exploit genutzt, um Cyberangriffe auf die Ukraine durchzuführen.

Eine neu gepatchte Sicherheitslücke, die den Windows NT LAN Manager (NTLM) betrifft, wurde von einem mutmaßlich mit Russland verbundenen Akteur als Zero-Day-Exploit genutzt, um Cyberangriffe auf die Ukraine zu starten. Die betreffende Schwachstelle, CVE-2024-43451, beschreibt eine NTLM-Hash-Offenlegungsschwachstelle, die ausgenutzt werden könnte, um den NTLMv2-Hash eines Benutzers zu stehlen. Microsoft hat diese Schwachstelle kürzlich gepatcht. Laut Microsoft kann die Schwachstelle durch minimale Interaktion mit einer bösartigen Datei, wie z.B. durch einfaches Anklicken oder Rechtsklicken, ausgelöst werden. Das israelische Cybersicherheitsunternehmen ClearSky, das die Ausnutzung der Schwachstelle im Juni 2024 entdeckte, berichtete, dass sie als Teil einer Angriffskette missbraucht wird, die die Open-Source-Malware Spark RAT ausliefert. Die Schwachstelle aktiviert URL-Dateien, die zu bösartigen Aktivitäten führen, wobei die bösartigen Dateien auf einer offiziellen ukrainischen Regierungsseite gehostet wurden, die es Benutzern ermöglicht, akademische Zertifikate herunterzuladen. Die Angriffskette umfasst das Versenden von Phishing-E-Mails von einem kompromittierten ukrainischen Regierungsserver, die die Empfänger auffordern, ihre akademischen Zertifikate zu erneuern, indem sie auf eine präparierte URL im Nachrichtentext klicken. Dies führt zum Herunterladen eines ZIP-Archivs, das eine bösartige Internetverknüpfung (.URL) enthält. Die Schwachstelle wird ausgelöst, wenn das Opfer mit der URL-Datei interagiert, indem es sie z.B. rechtsklickt oder in einen anderen Ordner zieht. Die URL-Datei ist so konzipiert, dass sie Verbindungen zu einem Remote-Server herstellt, um zusätzliche Payloads, einschließlich Spark RAT, herunterzuladen. Darüber hinaus wurde bei einer Sandbox-Ausführung ein Alarm über einen Versuch ausgelöst, den NTLM-Hash über das SMB-Protokoll zu übermitteln. Nach Erhalt des NTLM-Hashes kann ein Angreifer einen Pass-the-Hash-Angriff durchführen, um sich als der Benutzer zu identifizieren, der mit dem erfassten Hash verbunden ist, ohne das entsprechende Passwort zu benötigen. Das Computer Emergency Response Team der Ukraine (CERT-UA) hat die Aktivitäten mit einem wahrscheinlich russischen Bedrohungsakteur in Verbindung gebracht, den es als UAC-0194 verfolgt. In den letzten Wochen hat die Agentur auch davor gewarnt, dass Phishing-E-Mails mit steuerbezogenen Ködern verwendet werden, um eine legitime Remote-Desktop-Software namens LiteManager zu verbreiten. Diese Angriffskampagne wird als finanziell motiviert beschrieben und von einem Bedrohungsakteur namens UAC-0050 durchgeführt. Besonders gefährdet sind Buchhalter von Unternehmen, deren Computer mit Remote-Banking-Systemen arbeiten. In einigen Fällen kann es, wie die Ergebnisse von Computerforensik-Untersuchungen zeigen, nicht mehr als eine Stunde vom Zeitpunkt des ersten Angriffs bis zum Diebstahl von Geldern dauern.