29 Febbraio 2024 10:03
Alert
ANY.RUN rileva attacco su vasta scala
I dettagli dell'attacco includono:
- Vettore iniziale: L'attacco inizia con un'email contenente un allegato ZIP e il messaggio "I sent a material your side last day, have you able to get it?" disponibile sia in inglese che in tedesco.
- Contenuto dell'archivio: L'archivio ZIP contiene due file, uno dei quali è una pagina HTML.
- Pagina HTML: La pagina HTML utilizza un template di 450 byte e reindirizza a un file su un server esterno tramite il protocollo SMB, ma solo se il file HTML locale viene aperto.
- Server degli attaccanti: Gli attaccanti hanno configurato il server SMB utilizzando impacket-smbserver sui loro server.
- Dati raccolti: Quando il documento HTML viene aperto, gli attaccanti ricevono dati dell'utente come l'indirizzo IP, i dati della challenge NTLM, il nome utente e il nome computer della vittima.
Le tecniche utilizzate nell'attacco sono classificate secondo MITRE come:
- Phishing (T1566)
- Enumerazione di nome utente e PC (T1589)
- Compromissione NTLM (T1187)
Fonte: ANY.RUN