网络犯罪分子使用 PowerShell 从受感染的 Windows 中窃取 NTLMv2 哈希

一个新的网络攻击活动正在利用与合法的红色团队工具关联的PowerShell脚本，从主要位于澳大利亚，波兰和比利时的受感染Windows系统中掠夺NTLMv2哈希。

该活动被Zscaler ThreatLabz代号为Steal-It。

“在这次活动中，威胁行为者使用Nishang的Start-CaptureServer PowerShell脚本的定制版本窃取和泄露NTLMv2哈希，执行各种系统命令，并通过Mockbin API泄露检索到的数据，”安全研究人员Niraj Shivtarkar和Avinash Kumar说。

Nishang 是一个 PowerShell 脚本和有效负载的框架和集合，用于攻击性安全、渗透测试和红队。

这些攻击利用了多达五个不同的感染链，尽管它们都利用包含ZIP存档的网络钓鱼电子邮件作为起点，使用地理围栏技术渗透特定目标 –

• NTLMv2哈希窃取感染链，它使用上述Start-CaptureServer PowerShell脚本的自定义版本来收集NTLMv2哈希
• 系统信息窃取感染链，OnlyFans 引诱针对澳大利亚用户下载窃取系统信息的 CMD 文件
• Fansly whoami 感染链，它使用乌克兰和俄罗斯 Fansly 模型的显式图像来诱使波兰用户下载 CMD 文件，该文件会泄露 whoami 命令的结果
• Windows更新感染链，针对比利时用户使用虚假的Windows更新脚本，旨在运行任务列表和系统信息等命令

值得注意的是，乌克兰计算机应急响应小组 （CERT-UA） 于 2023 年 8 月强调了最后一个攻击序列，作为针对该国政府机构的 APT<> 活动的一部分。

这增加了一种可能性，即Steal-It活动也可能是俄罗斯国家支持的威胁行为者的工作。

“威胁行为者的自定义PowerShell脚本和在ZIP档案中战略性地使用LNK文件突出了他们的技术专长，”研究人员说。“通过将文件从”下载到启动“文件夹并重命名它们来保持持久性，这突显了威胁参与者对长期访问的奉献精神。”