Proofpointは3月4日(米国時間)、「TA577’s Unusual Attack Chain Leads to NTLM Data Theft |Proofpoint US」において、NTLM(NT LAN Manager)の認証情報を窃取する新しい攻撃手法を確認したと伝えた。この攻撃を実行した脅威アクターは「TA577」とされ、NTLM認証情報を窃取するために同じ手法を使用した2つのキャンペーンを実施したとされる。

  • TA577’s Unusual Attack Chain Leads to NTLM Data Theft |Proofpoint US

    TA577’s Unusual Attack Chain Leads to NTLM Data Theft |Proofpoint US

新しい攻撃手法

Proofpointによると、脅威アクターは「スレッドハイジャック」と呼ばれる窃取したメールに返信する手法を用い、標的に「返信メール」として表示される悪意のあるメールを送信する。このメールにはZIP圧縮されたHTMLファイルが添付されており、HTMLファイルを開くとテキストファイルのファイルスキームURI(file://)へのリダイレクト(metaタグのRefresh機能)を介して、SMB(Server Message Block)サーバへの接続が試行される。接続先は脅威アクターが管理する外部サーバーのため、接続を試行した段階でNTLMv2ハッシュが窃取される。

  • ZIP圧縮されたHTMLファイルが添付された悪意のあるメールの例 - 提供:Proofpoint

    ZIP圧縮されたHTMLファイルが添付された悪意のあるメールの例  引用:Proofpoint

この脅威アクターの管理する外部サーバからはマルウェアの配信が確認されておらず、脅威アクターはNTLMv2ハッシュの取得を目的として攻撃したものとみられている。また、この攻撃手段が新しいと評価できる点は、HTMLファイルをZIP圧縮した点にあるという。

ProofpointによるとファイルスキームURIをメール本文に記載した攻撃は2023年7月のパッチにて修正されており、HTMLファイルを一旦保存して実行させることでこの修正パッチを回避したものとみられている。

対策

Proofpointはこの件以外にもファイルスキームURIを使用して外部のSMBやWebDAVなどのファイル共有サーバに誘導し、マルウェア配信用のリモートコンテンツにアクセスさせる複数の攻撃の増加を確認したとしている。そのため、今回のキャンペーンや外部リソースへのアクセスを悪用する攻撃を防止する方法として、ネットワーク管理者には外部へのSMB接続をブロックする対策の実施が推奨されている。

また、Proofpointはこの件の調査で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。