Kelemahan keamanan yang baru ditambal yang berdampak pada Windows NT LAN Manager (NTLM) dieksploitasi sebagai zero-day oleh tersangka aktor yang terkait dengan Rusia sebagai bagian dari serangan dunia maya yang menargetkan Ukraina.
Kerentanan yang dimaksud, CVE-2024-43451 (skor CVSS: 6.5), mengacu pada kerentanan spoofing pengungkapan hash NTLM yang dapat dieksploitasi untuk mencuri hash NTLMv2 pengguna. Itu telah ditambal oleh Microsoft awal pekan ini.
“Interaksi minimal dengan file berbahaya oleh pengguna seperti memilih (satu klik), memeriksa (klik kanan), atau melakukan tindakan selain membuka atau mengeksekusi dapat memicu kerentanan ini,” ungkap Microsoft dalam penasehatnya.
Perusahaan keamanan siber Israel ClearSky, yang menemukan eksploitasi zero-day atas kelemahan tersebut pada bulan Juni 2024, mengatakan bahwa kelemahan tersebut telah disalahgunakan sebagai bagian dari rantai serangan yang mengirimkan malware Spark RAT sumber terbuka.
“Kerentanan mengaktifkan file URL, yang mengarah ke aktivitas jahat,” kata perusahaan itu, seraya menambahkan bahwa file berbahaya tersebut dihosting di situs resmi pemerintah Ukraina yang memungkinkan pengguna mengunduh sertifikat akademik.
Rantai serangan ini melibatkan pengiriman email phishing dari server pemerintah Ukraina yang disusupi (“doc.osvita-kp.gov[.]ua”) yang meminta penerima untuk memperbarui sertifikat akademik mereka dengan mengklik URL jebakan yang tertanam dalam pesan.
Hal ini menyebabkan pengunduhan arsip ZIP yang berisi file pintasan internet berbahaya (.URL). Kerentanan dipicu ketika korban berinteraksi dengan file URL dengan mengklik kanan, menghapus, atau menyeretnya ke folder lain.
File URL dirancang untuk membuat koneksi dengan server jarak jauh (“92.42.96[.]30”) untuk mengunduh muatan tambahan, termasuk Spark RAT.
“Selain itu, eksekusi sandbox memunculkan peringatan tentang upaya untuk meneruskan Hash NTLM (NT LAN Manager) melalui protokol SMB (Server Message Block),” kata ClearSky. “Setelah menerima Hash NTLM, penyerang dapat melakukan serangan Pass-the-Hash untuk mengidentifikasi sebagai pengguna yang terkait dengan hash yang ditangkap tanpa memerlukan kata sandi yang sesuai.”
Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah mengaitkan aktivitas tersebut dengan kemungkinan pelaku ancaman Rusia yang dilacaknya sebagai UAC-0194.
Dalam beberapa minggu terakhir, badan tersebut juga telah memperingatkan bahwa email phishing yang berisi umpan terkait pajak digunakan untuk menyebarkan perangkat lunak desktop jarak jauh yang sah bernama LiteManager, menggambarkan kampanye serangan tersebut bermotif finansial dan dilakukan oleh aktor ancaman bernama UAC-0050.
“Akuntan perusahaan yang komputernya bekerja dengan sistem perbankan jarak jauh berada dalam zona risiko khusus,” CERT-UA memperingatkan. “Dalam beberapa kasus, sebagaimana dibuktikan oleh hasil penyelidikan forensik komputer, mungkin diperlukan waktu tidak lebih dari satu jam dari saat serangan awal hingga saat pencurian dana.”