Uma nova campanha de ataque cibernético está em andamento, e ela se aproveita do script PowerShell associado a uma ferramenta legítima de red teaming.

O objetivo é saquear hashes NTLMv2 de sistemas Windows comprometidos, com os principais alvos sendo sistemas localizados na Austrália, Polônia e Bélgica.

Os atores de ameaças, nesta campanha, estão roubando e exfiltrando hashes NTLMv2. Eles fazem isso usando versões personalizadas do script PowerShell Start-CaptureServer da Nishang.

Além disso, executam vários comandos do sistema e exfiltram os dados recuperados por meio das APIs Mockbin.

Nishang é reconhecido como um framework e coleção de scripts e cargas úteis do PowerShell. Ele é amplamente utilizado para segurança ofensiva, testes de penetração e red teaming.

Os ataques atuais empregam até cinco diferentes cadeias de infecção. No entanto, todos eles têm um ponto comum: utilizam e-mails de phishing contendo arquivos ZIP para infiltrar em alvos específicos, usando técnicas de geofencing.

Os pesquisadores também enfatizaram a sofisticação dos atores de ameaças. Eles usam scripts PowerShell personalizados e arquivos LNK dentro dos arquivos ZIP, demonstrando alta expertise técnica.