Russische Hacker nutzen NTLM-Schwachstelle für Cyberangriffe auf die Ukraine
       
TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

KIEW / MÜNCHEN (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke im Windows NT LAN Manager (NTLM) wurde von einem mutmaßlich russischen Akteur als Zero-Day-Exploit genutzt, um Cyberangriffe auf die Ukraine durchzuführen.



Eine neu gepatchte Sicherheitslücke, die den Windows NT LAN Manager (NTLM) betrifft, wurde von einem mutmaßlich mit Russland verbundenen Akteur als Zero-Day-Exploit genutzt, um Cyberangriffe auf die Ukraine zu starten. Die betreffende Schwachstelle, CVE-2024-43451, beschreibt eine NTLM-Hash-Offenlegungsschwachstelle, die ausgenutzt werden könnte, um den NTLMv2-Hash eines Benutzers zu stehlen. Microsoft hat diese Schwachstelle kürzlich gepatcht. Laut Microsoft kann die Schwachstelle durch minimale Interaktion mit einer bösartigen Datei, wie z.B. durch einfaches Anklicken oder Rechtsklicken, ausgelöst werden. Das israelische Cybersicherheitsunternehmen ClearSky, das die Ausnutzung der Schwachstelle im Juni 2024 entdeckte, berichtete, dass sie als Teil einer Angriffskette missbraucht wird, die die Open-Source-Malware Spark RAT ausliefert. Die Schwachstelle aktiviert URL-Dateien, die zu bösartigen Aktivitäten führen, wobei die bösartigen Dateien auf einer offiziellen ukrainischen Regierungsseite gehostet wurden, die es Benutzern ermöglicht, akademische Zertifikate herunterzuladen. Die Angriffskette umfasst das Versenden von Phishing-E-Mails von einem kompromittierten ukrainischen Regierungsserver, die die Empfänger auffordern, ihre akademischen Zertifikate zu erneuern, indem sie auf eine präparierte URL im Nachrichtentext klicken. Dies führt zum Herunterladen eines ZIP-Archivs, das eine bösartige Internetverknüpfung (.URL) enthält. Die Schwachstelle wird ausgelöst, wenn das Opfer mit der URL-Datei interagiert, indem es sie z.B. rechtsklickt oder in einen anderen Ordner zieht. Die URL-Datei ist so konzipiert, dass sie Verbindungen zu einem Remote-Server herstellt, um zusätzliche Payloads, einschließlich Spark RAT, herunterzuladen. Darüber hinaus wurde bei einer Sandbox-Ausführung ein Alarm über einen Versuch ausgelöst, den NTLM-Hash über das SMB-Protokoll zu übermitteln. Nach Erhalt des NTLM-Hashes kann ein Angreifer einen Pass-the-Hash-Angriff durchführen, um sich als der Benutzer zu identifizieren, der mit dem erfassten Hash verbunden ist, ohne das entsprechende Passwort zu benötigen. Das Computer Emergency Response Team der Ukraine (CERT-UA) hat die Aktivitäten mit einem wahrscheinlich russischen Bedrohungsakteur in Verbindung gebracht, den es als UAC-0194 verfolgt. In den letzten Wochen hat die Agentur auch davor gewarnt, dass Phishing-E-Mails mit steuerbezogenen Ködern verwendet werden, um eine legitime Remote-Desktop-Software namens LiteManager zu verbreiten. Diese Angriffskampagne wird als finanziell motiviert beschrieben und von einem Bedrohungsakteur namens UAC-0050 durchgeführt. Besonders gefährdet sind Buchhalter von Unternehmen, deren Computer mit Remote-Banking-Systemen arbeiten. In einigen Fällen kann es, wie die Ergebnisse von Computerforensik-Untersuchungen zeigen, nicht mehr als eine Stunde vom Zeitpunkt des ersten Angriffs bis zum Diebstahl von Geldern dauern.

Russische Hacker nutzen NTLM-Schwachstelle für Cyberangriffe auf die Ukraine
Russische Hacker nutzen NTLM-Schwachstelle für Cyberangriffe auf die Ukraine (Foto: DALL-E, IT BOLTWISE)
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein.



Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Stichwörter
Alle Märkte in Echtzeit verfolgen - 30 Tage kostenlos testen!


#Abo
LinkedIn
Facebook
Twitter
#Podcast
YouTube
Spotify
Apple
#Werbung
Bitcoin
Startups
AI Devs

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert



Es werden alle Kommentare moderiert!

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.

Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.

142 Leser gerade online auf IT BOLTWISE®