Hoppa till innehåll

Ny trend: Kritiska IOC:er från Outlooks sårbarhet  


Publicerat:

Våra cybersäkerhetsexperter från SamurAI Security Operation Center (SOC) har upptäckt hotaktörer som utnyttjar den senaste sårbarheten i Microsoft Outlook, känd som MonikerLink, med hjälp av verktyget Impacket SMBserver. I det här blogginlägget kommer vi att fördjupa oss i detaljerna om just den här sårbarheten, utforska hur hotaktörer utnyttjar den och dela med oss av över 200 nyttjandeindikatiorer (IOC) som vårt team har spårat under de senaste två månaderna.  

En ny sårbarhet i Microsoft Outlook har upptäckts av en forskare via Checkpoint. Sårbarheten kallas för MonikerLink (CVE-2024-21413) och har en sårbarhetsscore på 9.8/10. Om denna sårbarhet utnyttjas av en hotaktör kan NTLM-information samlas in, inklusive NTLM-hash som kan användas för pass-the-hash-attacker. Genom att koppla MonikerLink med en annan sårbarhet kan angripare uppnå Remote Code Execution (RCE) på angripna system, vilket kan få förödande konsekvenser.  

Bara två dagar efter Checkpoints avslöjande presenterade forskaren “Xaitax” ett koncepttest (POC) på GitHub. Denna POC visar hur man skickar ett e-postmeddelande innehållande en MonikerLink-payload (skadlig kod), och när mottagaren klickar på payloaden överförs deras lokala NTLM-information omedelbart till angriparens SMB-servrar.   

Xaitax’s Github-sida nämnde förvånadsvärt nog också att de framgångsrikt uppnådde Remote Code Execution (RCE). Men eftersom Xaitax förstod de katastrofala konsekvenserna av vad som kunde uppstå om den hamnade i fel händer, valde han att inte släppa POC för RCE.  

Redan inom loppet av en vecka från det att POC släpptes upptäckte SamurAI MDR-teamet att den kända hotaktören TA577 utnyttjade MonikerLink. TA577 är känd för sin verkan inom cyberbrottslighet och är en stor Qakbot-affiliate. Qakbot, som ursprungligen dök upp runt 2008 som en banktrojan, har utvecklats till en av de större hotaktörerna inom ransomware-attacker. Dess infektioner fungerar ofta som föregångare till förödande ransomware, inklusive den ökända Black Basta. 

TA577 använder verktyget Impacket SMBserver för att fånga NTLM-information från sina offer. SamurAI cybersäkerhetsanalytiker har noggrant övervakat Impacket SMBserver-aktiviteten på flera OSINT (Open Source Intelligence)-plattformar och vill gärna bidra till communityn inom cybersäkerhet och dela med sig av sina insikter. Därför har de sammanställt över 200 IOC:er på vår Github som innehåller detaljerade tidsstämplar för SMBserver-aktivitet, vilket avsevärt kan höja detektionsförmågan för verkliga försök.  

Är du osäker på om ditt företag är skyddat från cyberbrottslingar? Kontakta oss!

Genom att vara proaktiva och vaksamma kan vi gemensamt försvara oss mot cyberhot och skydda känsliga uppgifter från att spridas. Låt oss prioritera cybersäkerhet och arbeta tillsammans för att säkerställa en säkrare digital miljö för alla. Fyll i formuläret nedan för att få prata cybersäkerhet med oss!