一种新的网络攻击活动 正在利用 PowerShell 脚本与合法的红队工具相关联从受感染的 Windows 系统中窃取 NTLMv2 哈希,攻击活动主要分布在澳大利亚、波兰和比利时。该活动被Zscaler ThreatLabz设置代号为Steal-It。
NTLMv2 hash是Windows下的一种密码hash,用于对密码进行哈希处理,在客户端和服务器之间进行身份验证。
“在这次活动中,威胁行为者使用Nishang的Start-CaptureServer PowerShell脚本的定制版本窃取和泄露NTLMv2哈希,执行各种系统命令,并通过Mockbin API泄露检索到的数据,”安全研究人员Niraj Shivtarkar和Avinash Kumar说。
Nishang 是一个框架和PowerShell 脚本的集合,以及用于进攻性安全、渗透测试和红队测试的有效载荷。这些攻击利用了多达五个不同的感染链,尽管它们都利用包含ZIP存档的网络钓鱼电子邮件作为起点,使用地理围栏技术渗透特定目标。
NTLMv2哈希窃取感染链:采用前面提到的 Start-CaptureServer PowerShell 脚本自定义版本收集 NTLMv2 哈希。
系统信息窃取感染链:是通过OnlyFans 引诱澳大利亚用户目标下载 CMD 文件窃取系统信息;
Fansly whoami感染链:它使用 乌克兰和俄罗斯模特的露骨图片引诱波兰用户下载CMD文件从而泄露 whoami 命令的结果;
Windows更新感染链:使用虚假的Windows更新脚本针对比利时用户设计用于运行任务列表和系统信息等命令。
声明:内容来源thehackernews,转载目的在于传递更多资讯。如有侵权,请联系本站处理。