Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Русских хакеров обвинили в использовании новой уязвимости NTLM для распространения вредоносного ПО через фишинговые письма

28
1 мин
Эксперты по кибербезопасности из Microsoft заявили в своём новом отчёте, что недавно исправленная уязвимость безопасности, влияющая на Windows NT LAN Manager (NTLM), использовалась как уязвимость нулевого дня якобы хакерами из России в рамках кибератак, нацеленных на Украину. Ошибка с идентификатором CVE-2024-43451 (оценка CVSS: 6,5) относится к уязвимости раскрытия хэша NTLM, которая может быть использована для кражи хэша NTLMv2 пользователя. В заявлении Microsoft говорится, что возникновение этой уязвимости может спровоцировать минимальное взаимодействие пользователя с вредоносным файлом, например выбор (один клик), проверка (клик правой кнопкой мыши) или выполнение действия, отличного от открытия или запуска. Израильская компания по кибербезопасности ClearSky, которая обнаружила эксплуатацию уязвимости CVE-2024-43451 в июне 2024 года, заявила, что она была использована в рамках цепочки атак, в ходе которых распространялось вредоносное ПО Spark RAT с открытым исходным кодом. Цепочка
источник: dall-e
источник: dall-e

Эксперты по кибербезопасности из Microsoft заявили в своём новом отчёте, что недавно исправленная уязвимость безопасности, влияющая на Windows NT LAN Manager (NTLM), использовалась как уязвимость нулевого дня якобы хакерами из России в рамках кибератак, нацеленных на Украину. Ошибка с идентификатором CVE-2024-43451 (оценка CVSS: 6,5) относится к уязвимости раскрытия хэша NTLM, которая может быть использована для кражи хэша NTLMv2 пользователя.

В заявлении Microsoft говорится, что возникновение этой уязвимости может спровоцировать минимальное взаимодействие пользователя с вредоносным файлом, например выбор (один клик), проверка (клик правой кнопкой мыши) или выполнение действия, отличного от открытия или запуска.

Израильская компания по кибербезопасности ClearSky, которая обнаружила эксплуатацию уязвимости CVE-2024-43451 в июне 2024 года, заявила, что она была использована в рамках цепочки атак, в ходе которых распространялось вредоносное ПО Spark RAT с открытым исходным кодом.

Цепочка атак, как рассказали в Microsoft, предполагает отправку фишинговых писем со взломанного украинского правительственного сервера («doc.osvita-kp.gov[.]ua»), в которых получателям предлагается продлить свои академические сертификаты, нажав на поддельный URL-адрес, встроенный в сообщение. Это приводит к загрузке ZIP-архива, содержащего вредоносный файл ярлыка интернета (.URL). Уязвимость активируется, когда жертва взаимодействует с файлом URL, щёлкая правой кнопкой мыши, удаляя его или перетаскивая в другую папку. URL-файл предназначен для установления соединений с удалённым сервером («92.42.96[.]30») для загрузки дополнительных полезных данных, включая вредонос Spark RAT.

Украинская служба реагирования на компьютерные инциденты (CERT-UA) связала эту активность с российской хакерской группировкой, которую она отслеживает как UAC-0194.

Оригинал публикации на сайте CISOCLUB: "Русских хакеров обвинили в использовании новой уязвимости NTLM для распространения вредоносного ПО через фишинговые письма".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются